Spring Security

为什么要在 webflux 环境中使用 Spring Security？ 在微服务项目中，由于使用到了 gateway 。

对 Spring Security 的文章也写了好几篇了，有基本使用的，有对其进行自定义逻辑的。但那时各位肯定不知道为什么需要这么去定义。

现在各大网站登录的方式是越来越多。比如：传统的用户名密码登录、快捷的邮箱、手机验证码登录，还有流行的第三方登录。

在前面的几篇文章中，登录时都是使用用户名 + 密码进行登录的，但是在实际项目当中，登录时，还需要输入图形验证码。那如何在 Spring Security 现有的认证体系中，加入自己的认证逻辑呢？

在 Spring Security 中，默认的登陆方式是以表单形式进行提交参数的。可以参考前面的几篇文章，但是在前后端分离的项目，前后端都是以 JSON

已经写了好几篇关于 Spring Security 的文章了，相信很多读者还是对 Spring Security 的云里雾里的。这是因为对 Spring Security 中的对象还不了解。

在前面的文章中，所有的接口只需要登录就能访问。并没有对每个接口进行权限限制。 在正式的系统中，一个用户会拥有一个或者多个角色，而不同的角色会拥有不同的接口权限。

到目前为止我们的 SecurityConfig 只包含了关于如何验证用户的信息。那 Security 怎么知道我们需要对所有的接口进行验证？

如果想让我们的接口受到保护，只需要在项目中加入 spring-boot-starter-security 依赖。