结合源码学习使用SpringSecurity

一、 关键词

Authentication：鉴权，我理解为身份认证，是权限验证中的一个特殊的分支。
Authorization：授权，表示为权限验证。
AuthenticationProvider：认证处理，对每一个支持的认证对象的身份进行认证。
AuthenticationManager：认证管理器，管理多个AuthenticationProvider，实现允许多个认证处理去执行不同来源的身份认证。
AccessDecisionManager：验证管理器，主要是对Security表达式(表达式数量可以是多个)进行权限验证处理。例如：authenticated()、hasRole()、hasAuthority()、access(表达式)等方法进行权限的验证。其中authenticated()表示对用户是否拥有验明的身份权，即为身份认证。
权限通过：AccessDecisionManager管理有三个实现类，分别对应三种权限验证通过的方式。权限验证通过是通过类似投票方式决定，有三种投票机制
  ACCESS_GRANTED：赞成票
  ACCESS_ABSTAIN：弃权票
  ACCESS_DENIED：否决票

通过方式	实现类	解释
非否决通过	AffirmativeBased	1.有赞成票即可通过 2.全部弃权即可通过
少数服从多数	ConsensusBased	1.赞成票大于否决票则通过 2.赞成票和否决票相同，allowIfEqualGrantedDeniedDecisions=true则通过 3.全部弃权，allowIfEqualGrantedDeniedDecisions=true则通过
一致通过	UnanimousBased	1.有赞成票，没有反对票则通过 2.全部否决，allowIfAllAbstainDecisions=true则通过

二、 基本流程

 1.从@EnableWebSecurity说起

 源码如下

@Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME)
@Target(value = { java.lang.annotation.ElementType.TYPE })
@Documented
@Import({ WebSecurityConfiguration.class, // 导入WebSecurity配置，是针对于Web方面的一些注册
        SpringWebMvcImportSelector.class,
        OAuth2ImportSelector.class })
@EnableGlobalAuthentication // 允许全局定义认证机制，包含一些认证的注册配置等等
@Configuration
public @interface EnableWebSecurity {

    /**
     * Controls debugging support for Spring Security. Default is false.
     * @return if true, enables debug support with Spring Security
     */
    boolean debug() default false;
}

 在WebSecurityConfiguration类中有setFilterChainProxySecurityConfigurer()方法，这个方法将会导入关于SpringSecurity的所有配置器对象(实现WebSecurityConfigurer接口的实例)，方法如下：

@Autowired(required = false)
    public void setFilterChainProxySecurityConfigurer(
            ObjectPostProcessor