小野学Java

授权最重要的三个类里，AccesDecisionVoter 和 AccessDecisionManager 都有众多的实现类，在管理器中会逐个遍历投票器，进而决定是否允许用户访问。

Spring Security采用一种自适应单向函数来处理密码问题，这种自适应单向函数在进行密码匹配时，会有意占用大量系统资源，这样可以增加恶意用户攻击系统的难度。

OAuth是一个开放标准，它允许用户让第三方应用访问该用户在其他上存储的私密资源，并且无须将用户名和密码提供给第三方应用，OAuth2在这里是通过令牌(token)来实现这一功能的。

Spring Security的两大核心功能是认证和授权，身份认证，就是判断一个用户是否为合法用户的处理过程。Spring Security中支持多种不同方式的认证，并且都不会影响授权功能的使用。

验证码不是通过Security产生的，需要我们自己进行产生并添加到session中，这样进行验证码匹配的时候就可以直接从session中获取，与用户输入的验证码进行比较，然后提示用户是否输入正确。

在Spring Security中，框架内部使用的默认的登录方式是表单登录，但是这种登陆的方式并不适用于前后端分离的项目中，因为我们需要的是以JSON格式来传递登录数据，由自定义登录过滤器来处理数据。

Spring Security过滤器链的构建主要角色是HttpSecurity，它的主要作用就是创建一个SecurityFilterChain对象，它包含一个路径匹配器以及众多的过滤器。

Spring Security 中所有需要构建的对象都可以通过SecurityBuilder来实现，比如的过滤器链、代理过滤器、AuthenticationManager等组件，都由它进行构建。

众所周知，Spring Security的本质就是一系列的过滤器链，因为Spring Security中的所有功能都是由过滤器来实现的，这些不同的过滤器各司其职，组成一条完整的过滤器链。