Springsecurity的认证流程及鉴权流程（流程绝对清晰）

Spring Security的认证（Authentication）和鉴权（Authorization）过程如下：

1. 认证（Authentication）过程：

   • 用户提交登录请求，包含用户名和密码。
   • Spring Security接收请求，进入认证过程。
   • Spring Security的AuthenticationManager开始验证用户凭证。
   • AuthenticationManager会根据配置调用相应的AuthenticationProvider。
   • AuthenticationProvider会查询用户存储（如数据库、LDAP服务器等）以确认用户凭证有效。
   • 如果用户凭证有效，AuthenticationProvider会返回一个包含用户的GrantedAuthority的Authentication对象。
   • AuthenticationManager接收Authentication对象，并将其存储在SecurityContext中。
   • 认证成功后，用户可以访问受保护的资源。

2. 鉴权（Authorization）过程：

   • 在请求受保护的资源时，Spring Security会从SecurityContext中获取认证信息。
   • 基于用户的认证信息和请求的安全配置，Spring Security的AccessDecisionManager会决定是否授权访问资源。
   • AccessDecisionManager会检查用户的GrantedAuthority是否满足资源访问的要求。
   • 如果用户有足够的权限，访问被允许；如果没有，会收到访问拒绝的响应。

以上流程提供了一个基本框架，实际实现可能会根据具体应用场景进行定制。