Spring Security 是spring家族中的一个安全管理框架。相比于另一个安全框架Shiro，它提供更丰富的功能和社区资源，但也较难上手。所以一般大项目用spring Security，小项目用Shiro。

一般web应用需要认证和授权，这也是spring Security的核心功能。

 认证：验证当前访问系统的是不是本系统用户，并且要确认具体是哪个用户。

 授权：经过认证后判断当前用户是否有权限进行某操作。

需要引入以下依赖：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

然后我们写一个简单的访问controller，来简单看看springSecurity的功能

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping
public class HelloController {
        @GetMapping("/hello")
        public String hello(){
        return "hello";
    }
}

启动后，在浏览器访问 http://localhost:8080/hello  访问该接口时会自动跳转到一个springSecurity默认的登陆界面，默认用户名为user，密码会输出在控制台。

 登陆后才可访问。

下面说说通用的登陆校验流程：

 在登陆时，前端会把用户输入的用户名和密码传给后端，后端根据用户名去数据库查询，若有该用户并且密码正确则认证通过，然后根据userId生成jwt，把jwt传给前端。这样用户登陆后，在发送其他请求时携带token发送给后端，后端就可以根据token解析出userId获取用户信息然后做出响应。

下面我们在看看springSecurity是怎么实现该流程的：

   先简单说说springSecurity

springSecurity原理其实是一个过滤器链，内部包含提供各种功能的过滤器。

 UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。

ExceptionTranslationFilter：处理过滤器链中跑出的任何AccessDeniedException和AuthenticationException。

FilterSecurityInterceptor：负责权限校验的过滤器。

具体过滤器及顺序：

下面是springSecurity实现认证流程的一个案例（springSecurity有很多不同的实现方法，但几乎都差不多，看懂一个其他的就也能看懂了）

下面的图为重点

Authentication接口：它的实现类，表示当前访问系统的用户，封装了用户相关信息。

AuthenticationManager接口：定义了认证Authentication的方法

UserDetailsService接口：加载用户特定数据的核心接口，里面定义了一个根据用户名查询用户信息的方法。

UserDetails接口：提供可信用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

 

其中UserDetailsService是从内存中查询用户信息，但我们想要的是从数据库中查，所以我们可以替换掉UserDetailsService的实现类。

而且这个新的实现类还需要实现图中5.2功能，把查询到的数据封装为UserDetails对象返回；同时，认证通过时，还需要返回一个token，但UsernamePasswordAuthenticationFilter中无法响应token，所以我们还自定义一个登陆接口Filter。

修改后的流程图：

上图仅仅是登陆的大概流程，但我们还要考虑校验（就是登陆之后，在发请求时怎么判断该用户是否已经登陆）： 

查看请求中是否携带token，然后从token中获取用户id。

然后获取userId后怎么获取该用户的完整信息呢？我们很容易想到到数据库去查，但如果每发一次请求都去查询数据库，数据库压力会很大。所以我们可以添加一个redis：如果认证通过了，用userId作key，用户完整信息作value存入redis。