spring security 学习 1

宽容是谅解，忍耐是蛰伏

一个比喻：spring security 很强大，很复杂，就像政府的行政服务中心，但是好在我们不会所有的业务办理都需要，我们只要关注我们需要的就行了。选择需要的服务，无视那些不需要的，等有需要再去了解。

一直理念：java 体系异常庞大，别动不动就精通，撸遍掩码说明的，人生苦短。

认证是什么，认证的目的是确认用户存在，本质就是对比用户名和密码。

授权是确定用户存在后，用户可以干什么，干什么就可能对应到角色，角色粒度太大，就可能再缩小到 操作。

permit
n 许可证；执照
v 允许，许可

JAVAEE 的流程 本质户以上股Filter过滤请求，转发到不同的处理模板处理，最后经过业务逻辑处理，返回Response的过程。

用户输入username和password

发起请求，进入 UsernamePasswordAuthenticationFilter 处理器

attempt
英 [əˈtempt] 美 [əˈtempt]
n.
企图;试图;尝试;杀人企图;(为超越某事物的)尝试，努力
v.
努力;尝试;试图

尝试认证 attemptAuthentication

过滤器的工作：

1. 匹配URL和Method 必须是POST
2. 从request请求中获得username和password
3. 我们不知道用户名和密码是不是对的，所以我们先构造一个未征得Token对象（UsernamePasswordAuthenticationToken 对象）
4. 存储这个token对象
5. 把token对象传个AuthenticationManager 去认证

未认证的token和认证的token 有什么区别？Token 对象的样子（属性和方法）

UsernamePasswordAutenticationToken 用于保存 认证的标识。它就是一个载体对象（为什么java那么喜欢把一切的东西封装成对象？）

我们不能只有一种认证方式吧，所以我们有多种AuthenticationProvider 认证提供者，例如UsernamePassword对应的DaoAuthenticationProvider。

AuthenticationManager会注册多种AuthenticationProvider ,让我们有多种选择。

AuthentionManager怎么确定使用按个Provider呢

根据Token类型来确定用什么Provider

public interface AuthenticationProvider {
    Authentication authenticate(Authentication var1) throws AuthenticationException;

    boolean supports(Class var1);
}

//Token给谁处理呢？当然是给当前的AuthenticationManager
 return this.getAuthenticationManager().authenticate(token);

 public Authentication authenticate(Authentication authentication) throws AuthenticationException {
 }