SpringSecurity系列第1篇简介

基本介绍

Spring Security是一个基于Spring AOP和Servlet过滤器的安全管理框架，它是保护基于Spring的应用的事实标准。它提供了一套完整的Web应用安全性解决方案，支持主流的认证方式，包括HTTP基本认证、HTTP表单验证、HTTP摘要认证、OpenID和LDAP等。它利用Spring IoC/DI和AOP功能，为系统提供了声明式的安全访问控制功能，减少了编写重复代码的工作。

基本流程（登录流程）

1.客户端发起一个请求，进入 Security 过滤器链。

2.当到 LogoutFilter 的时候判断是否是登出路径，如果是登出路径则到 logoutHandler ，如果登出成功则到 logoutSuccessHandler 登出成功处理。如果不是登出路径则直接进入下一个过滤器。

3.当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径，如果是，则进入该过滤器进行登录操作，如果登录失败则到 AuthenticationFailureHandler ，登录失败处理器处理，如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理，如果不是登录请求则不进入该过滤器。

4.进入认证BasicAuthenticationFilter进行用户认证，成功的话会把认证了的结果写入到SecurityContextHolder中SecurityContext的属性authentication上面。如果认证失败就会交给AuthenticationEntryPoint认证失败处理类，或者抛出异常被后续ExceptionTranslationFilter过滤器处理异常，如果是AuthenticationException就交给AuthenticationEntryPoint处理，如果是AccessDeniedException异常则交给AccessDeniedHandler处理。

5.当到 FilterSecurityInterceptor 的时候会拿到 uri ，根据 uri 去找对应的鉴权管理器，鉴权管理器做鉴权工作，鉴权成功则到 Controller 层，否则到 AccessDeniedHandler 鉴权失败处理器处理。