框架和中间件学习

Bean的生命周期 在传统的Java应用中，bean的生命周期很简单。使用Java关键字new进行bean实例化，然后该bean就可以使用了。一旦该bean不再被使用，则由Java自动进行垃圾回收。

Bean的实例化方式 Spring为Bean提供了多种实例化方式，通常包括4种方式。（也就是说在Spring中为Bean对象的创建准备了多种方案，目的是：更加灵活）。

依赖注入 DI（Dependency Injection）：依赖注入，依赖注入实现了控制反转的思想。指Spring创建对象的过程中，将对象依赖属性通过配置进行注入。

Spring的容器之IoC（一） IoC 是 Inversion of Control 的简写，译为“控制反转”，它不是一门技术，而是一种设计思想，是一个重要的面向对象编程法则。

在Spring里进行事务的控制有两种方式，编程式事务和声明式事务，其中声明式事务的控制比较简单，通过@Transactional注解进行控制。

RestTemplate是Spring提供的用于访问Rest服务的客户端，RestTemplate提供了多种便捷访问远程Http服务的方法,能够大大提高客户端的编写效率。

使用持久化令牌实现RememberMe的登录和使用普通令牌的登录的不同之处在于服务端所做的事情，持久化令牌在普通令牌的基础上，新增了两个校验参数--series 和token。

RememberMe的具体实现思路就是通过Cookie来记录当前用户身份。当用户登录成功之后，会通过一定的算法，将用户信息、时间戳等进行加密，加密完成后，通过响应头带回前端存储在Cookie中。

异常也算是一个开发中不可避免的问题，Spring Security中关于异常的处理主要是两个方面:认证异常处理、权限异常处理。除此之外的异常则抛出，交给Spring 去处理。

授权最重要的三个类里，AccesDecisionVoter 和 AccessDecisionManager 都有众多的实现类，在管理器中会逐个遍历投票器，进而决定是否允许用户访问。

Spring Security采用一种自适应单向函数来处理密码问题，这种自适应单向函数在进行密码匹配时，会有意占用大量系统资源，这样可以增加恶意用户攻击系统的难度。

OAuth是一个开放标准，它允许用户让第三方应用访问该用户在其他上存储的私密资源，并且无须将用户名和密码提供给第三方应用，OAuth2在这里是通过令牌(token)来实现这一功能的。

Spring Security的两大核心功能是认证和授权，身份认证，就是判断一个用户是否为合法用户的处理过程。Spring Security中支持多种不同方式的认证，并且都不会影响授权功能的使用。

验证码不是通过Security产生的，需要我们自己进行产生并添加到session中，这样进行验证码匹配的时候就可以直接从session中获取，与用户输入的验证码进行比较，然后提示用户是否输入正确。

在Spring Security中，框架内部使用的默认的登录方式是表单登录，但是这种登陆的方式并不适用于前后端分离的项目中，因为我们需要的是以JSON格式来传递登录数据，由自定义登录过滤器来处理数据。

Spring Security过滤器链的构建主要角色是HttpSecurity，它的主要作用就是创建一个SecurityFilterChain对象，它包含一个路径匹配器以及众多的过滤器。

Spring Security 中所有需要构建的对象都可以通过SecurityBuilder来实现，比如的过滤器链、代理过滤器、AuthenticationManager等组件，都由它进行构建。

众所周知，Spring Security的本质就是一系列的过滤器链，因为Spring Security中的所有功能都是由过滤器来实现的，这些不同的过滤器各司其职，组成一条完整的过滤器链。

认证过程其实就是在该系统的数据库里检查用户是否存在，存在则进行后面的授权操作。那么，用户不存在的话就没必要进行授权操作，没有意义，直接提示登录失败。

在实际开发中，都是要存入数据库之中而不是存在内存里面。 Spring Security 支持多种用户自定义的方式，比如使用JDBC、MyBatis、JPA等方式。