<filter>

<filter-name>springSecurityFilterChain</filter-name>

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>

<filter-name>springSecurityFilterChain</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

过滤器链头，是从 SecurityContextRepository 中取出用户认证信息，默认实现为 HttpSessionSecurityContextRepository，它会从 Session 中取出已认证的用户信息，提高效率，避免每次请求都要查询用户认证信息

取出之后会放入 SecurityContextHolder 中，以便其它 filter 使用，SecurityContextHolder 使用 ThreadLocal(一个threadLocal只能绑定一个数据多个新建多个ThreadLocal) (其中绑定当前线程(有个map)只能给当前线程用)存储用户认证信息，保证线程之间信息隔离，最后再 finally 中清除该信息(多例解决线程安全问题)

提供了对 SecurityContext 和 WebAsyncManager 的集成，会把 SecurityContext 设置到异步线程，使其也能获取到用户上下文认证信息

会往请求的 Header 中添加相应的信息

响应头：

防止

请求头：

跨域请求伪造过滤器，通过客户端穿来的 token 与服务端存储的 token 进行对比来判断请求

匹配URL，默认为 /logout，匹配成功后则会用户退出，清除认证信息，若有自己的退出逻辑，该过滤器可以关闭

登录认证过滤器，默认是对 /login 的 POST 请求进行认证，首先该方法会调用 attemptAuthentication 尝试认证获取一个 Authentication 认证对象，然后通过 sessionStrategy.onAuthentication 执行持久化，也就是保存认证信息，然后转向下一个 Filter，最后调用 successfulAuthentication 执行认证后事件

attemptAuthentication 该方法是认证的主要方法，认证基本流程为 UserDeatilService 根据用户名获取到用户信息，然后通过 UserDetailsChecker.check 对用户状态进行校验，最后通过 additionalAuthenticationChecks 方法对用户密码进行校验完后认证后，返回一个认证对象

当请求为登录请求时，生成简单的登录页面，可以关闭

Http Basic 认证的支持，该认证会把用户名密码使用 base64 编码后放入 header 中传输，认证成功后会把用户信息放入 SecurityContextHolder 中

恢复被打断时的请求

针对 Servlet api 不同版本做一些包装

SecurityContextHolder 中认证信息为空，则会创建一个匿名用户到 SecurityContextHolder 中

与登录认证拦截时作用一样，持久化用户登录信息，可以保存到 Session 中，也可以保存到 cookie 或 redis 中

异常拦截，处于 Filter 链条后部，只能拦截其后面的节点并着重处理 AuthenticationException(认证异常) 与 AccessDeniedException(请求被拒绝异常) 异常

1、获取到页面的用户名和密码

2、将username和password包装成UsernamePasswordAuthenticationToken

3、获取系统的认证管理器（AuthenticationManager）来调用authenticate方法完成认证

3.1）AuthenticationManager获取ProviderManager来调用ProviderManager.authenticate()

3.2）ProviderManager获取到所有的AuthenticationProvider判断当前的提供者能否支持，如果支持provider.authenticate(authentication);

现在我们DaoAuthenticationProvider（ authentication ：页面封装用户名和密码的对象）

3.2.1）retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);

  3.2.1.1）loadedUser = this.getUserDetailsService().loadUserByUsername(username);

（调用我们自己的UserDetailsService来去数据库查用户，按照用户名查出来的用户的详细信息）封装成UserDetails

3.2.2）preAuthenticationChecks.check(user);（预检查，账号是否被锁定等…）

3.2.3）additionalAuthenticationChecks（附加的认证检查）

  3.2.3.1）使用passwordEncoder. matches检查页面的密码和数据库的密码是否一致

3.2.4）postAuthenticationChecks.check(user);（后置认证，检查密码是否过期）

3.2.5）createSuccessAuthentication：将认证成功信息重新封装成UsernamePasswordAuthenticationToken

3.3）3.2又返回了一个新的UsernamePasswordAuthenticationToken，然后擦掉密码

4、 eventPublisher.publishAuthenticationSuccess(result);告诉所有监听器认证成功了

1. 用户通过url：/login 登录，该过滤器接收表单用户名密码
2. 判断用户名密码是否为空
3. 生成 UsernamePasswordAuthenticationToken
4. 将 Authentiction 传给 AuthenticationManager接口的 authenticate 方法进行认证处理
5. AuthenticationManager 默认是实现类为 ProviderManager ，ProviderManager 委托给 AuthenticationProvider 进行处理
6. UsernamePasswordAuthenticationFilter 继承了 AbstractAuthenticationProcessingFilter 抽象类，AbstractAuthenticationProcessingFilter 在 successfulAuthentication 方法中对登录成功进行了处理，通过 SecurityContextHolder.getContext().setAuthentication() 方法将 Authentication 认证信息对象绑定到 SecurityContext
7. 下次请求时，在过滤器链头的 SecurityContextPersistenceFilter 会从 Session 中取出用户信息并生成 Authentication（默认为 UsernamePasswordAuthenticationToken），并通过 SecurityContextHolder.getContext().setAuthentication() 方法将 Authentication 认证信息对象绑定到 SecurityContext
8. 需要权限才能访问的请求会从 SecurityContext 中获取用户的权限进行验证

为创建 WebSecurityConfigurer 实例提供方便的基类，重写它的 configure 方法来设置安全细节

configure(HttpSecurity http)：重写该方法，通过 http 对象的 authorizeRequests()方法定义URL访问权限，默认会为 formLogin() 提供一个简单的测试HTML页面

configure (AuthenticationManagerBuilder auth)：通过 auth 对象的方法添加身份验证

SecurityContextHolder 用于存储安全上下文信息（如操作用户是谁、用户是否被认证、用户权限有哪些），它用 ThreadLocal 来保存 SecurityContext，者意味着 Spring Security 在用户登录时自动绑定到当前现场，用户退出时，自动清除当前线程认证信息，SecurityContext 中含有正在访问系统用户的详细信息

用于构建认证 AuthenticationManager 认证，允许快速构建内存认证、LDAP身份认证、JDBC身份验证，添加 userDetailsService（获取认证信息数据） 和 AuthenticationProvider's（定义认证方式）

该接口仅有一个方法 loadUserByUsername，Spring Security 通过该方法获取用户信息

代表了Spring Security的用户实体类，带有用户名、密码、权限特性等性质，可以自己实现该接口，供 Spring Security 安全认证使用，Spring Security 默认使用的是内置的 User 类

将从数据库获取的 User 对象传入实现该接口的类，并获取 User 对象的值来让类实现该接口的方法

通过 Authentication.getPrincipal() 的返回类型是 Object，但很多情况下其返回的其实是一个 UserDetails 的实例

Authentication 是一个接口，用来表示用户认证信息，在用户登录认证之前相关信息（用户传过来的用户名密码）会封装为一个 Authentication 具体实现类对象，默认情况下为 UsernamePasswordAuthenticationToken，登录之后（通过AuthenticationManager认证）会生成一个更详细的、包含权限的对象，然后把它保存在权限线程本地的 SecurityContext 中，供后续权限鉴定用

Authentication.principal可以获取到已经认证的用户详细信息

 UsernamePasswordAuthenticationToken （密码被擦除，authenticated=true）

GrantedAuthority 是一个接口，它定义了一个 getAuthorities() 方法返回当前 Authentication 对象的拥有权限字符串，用户有权限是一个 GrantedAuthority 数组，每一个 GrantedAuthority 对象代表一种用户权限

AuthenticationManager 是用来处理认证请求的接口，它只有一个方法 authenticate()，该方法接收一个 Authentication 作为对象，如果认证成功则返回一个封装了当前用户权限信息的 Authentication 对象进行返回

它默认的实现是 ProviderManager，但它不处理认证请求，而是将委托给 AuthenticationProvider 列表，然后依次使用 AuthenticationProvider 进行认证，如果有一个 AuthenticationProvider 认证的结果不为null，则表示成功（否则失败，抛出 ProviderNotFoundException），之后不在进行其它 AuthenticationProvider 认证，并作为结果保存在 ProviderManager

认证校验时最常用的方式就是通过用户名加载 UserDetails，然后比较 UserDetails 密码与请求认证是否一致，一致则通过，Security 内部的 DaoAuthenticationProvider 就是使用这种方式

认证成功后加载 UserDetails 来封装要返回的 Authentication 对象，加载的 UserDetails 对象是包含用户权限等信息的。认证成功返回的 Authentication 对象将会保存在当前的 SecurityContext 中

AuthenticationProvider 是一个身份认证接口，实现该接口来定制自己的认证方式，可通过 UserDetailsSevice 对获取数据库中的数据

该接口中有两个需要实现的方法：

Authentication authenticate(Authentication authentication)：认证处理，返回一个 Authentication 的实现类则代表成功，返回 null 则为认证失败

supports(Class<?> aClass)：如果该 AuthenticationProvider 支持传入的 Authentication 认证对象，则返回 true ，如：return aClass.equals(UsernamePasswordAuthenticationToken.class);

是一个工具包，用于操作 GrantedAuthority 集合的实用方法：

commaSeparatedStringToAuthorityList(String authorityString)：从逗号分隔符中创建 GrantedAuthority 对象数组，帮我们快速创建出权限的集合

该抽象类继承了 GenericFilterBean，是处理 form 登录的过滤器，与 form 登录相关的所有操作都在该抽象类的子类中进行（UsernamePasswordAuthenticationFilter 为其子类），比如获取表单中的用户名、密码，然后进行认证等操作

该类在 doFilter 方法中通过 attemptAuthentication() 方法进行用户信息逻辑认证，认证成功会将用户信息设置到 Session 中

用于配置全局 Http 请求的权限控制规则，对哪些请求进行验证、不验证等

常用方法：

authorizeRequests()：返回一个配置对象用于配置请求的访问限制

formLogin()：返回表单配置对象，当什么都不指定时会提供一个默认的，如配置登录请求，还有登录成功页面

logout()：返回登出配置对象，可通过logoutUrl设置退出url

antMatchers：匹配请求路径或请求动作类型，如：.antMatchers("/admin/**")

addFilterBefore: 在某过滤器之前添加 filter

addFilterAfter：在某过滤器之后添加 filter

addFilterAt：在某过滤器相同位置添加 filter，不会覆盖相同位置的 filter

hasRole：结合 antMatchers 一起使用，设置请求允许访问的角色权限或IP，如：

.antMatchers("/admin/**").hasAnyRole("ROLE_ADMIN","ROLE_USER")

Spring 提供的一个用于对密码加密的接口，首选实现类为 BCryptPasswordEncoder

spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥  对密码进行加密。SHA系列是Hash算法，不是加密算法，使用加密算法意味着可以解密（这个与编码/解码一样），但是采用Hash处理，其过程是不可逆的。

（1）加密(encode)：注册用户时，使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理，得到密码的hash值，然后将其存入数据库中。

（2）密码匹配(matches)：用户登录时，密码匹配阶段并没有进行密码解密（因为密码经过Hash处理，是不可逆的），而是使用相同的算法把用户输入的密码进行hash处理，得到密码的hash值，然后将其与从数据库中查询到的密码hash值进行比较。如果两者相同，说明用户输入的密码正确。

这正是为什么处理密码时要用hash算法，而不用加密算法。因为这样处理即使数据库泄漏，黑客也很难破解密码

@PreAuthorize(value="hasRole('学徒') AND hasAuthority('luohan')")

@GetMapping("/level1/1")

public String leve1Page1(){

return "/level1/1";

}