Spring security 简要介绍

Spring security

应用安全一般可分成两个方面，一是认证：确认使用者的身份，创建对应的principal（这个词代表一个经过确认的身份信息）；二是鉴权：判定某个principal是否有访问某个资源或执行某个操作的权限。

核心类

• SecurityContextHolder
  用于存储安全上下文(security context)的信息，即一个存储身份信息，认证信息等的容器。
• Authentication
  Authentication是 Spring Security 中的一个重要接口，直接继承自 Principal类，该接口表示对用户身份信息的抽象
• AuthenticationManager
  AuthenticationManager是身份认证器，认证的核心接口，该接口只有一个 authenticate()方法，用于身份信息的认证，如果认证成功，将会返回一个带了完整信息的 Authentication
  在Spring Security中，AuthenticationManager默认的实现类是 ProviderManager
• UserDetailService 和 UserDetail
  UserDetailsService简单说就是加载对应的UserDetails的接口(一般从数据库)，而UserDetails包含了更详细的用户信息
• PasswordEncoder
  Spring Security要求容器中必须有PasswordEncoder实例（客户端密码和数据库密码是否匹配是由Spring Security 去完成的，Security中还没有默认密码解析器）
• BCryptPasswordEncoder
  BCryptPasswordEncoder是Spring Security官方推荐的密码解析器