Spring Security 看起来配置很多,但主线并不复杂。抓住认证、授权和过滤器链这三个关键词,整体结构就清楚了。
为什么总提过滤器链
因为请求进入应用后,会先经过一串安全过滤器。它们负责拦截请求、识别登录状态、校验凭证、判断访问权限,再决定是否继续放行。
认证和授权分别解决什么
认证回答“你是谁”,比如用户名密码登录、令牌校验;授权回答“你能做什么”,比如接口是否需要某个角色或权限。
上下文为什么重要
认证成功后,框架会把当前用户信息放进安全上下文,后续业务层和控制器才能知道当前是谁、具备哪些权限。
一句话理解
Spring Security 的核心是用过滤器链承接认证与授权,让每个请求在进入业务前先完成身份和权限检查。
正文完
