用户4277981188587

在 Spring Security 中，用户登录信息本质上还是保存在 HttpSession 中，但是为了方便使用，Spring Security 对 HttpSession 中的用户信息进行了封装。

在实际开发中，都是要存入数据库之中而不是存在内存里面。 Spring Security 支持多种用户自定义的方式，比如使用JDBC、MyBatis、JPA等方式。

认证过程其实就是在该系统的数据库里检查用户是否存在，存在则进行后面的授权操作。那么，用户不存在的话就没必要进行授权操作，没有意义，直接提示登录失败。

众所周知，Spring Security的本质就是一系列的过滤器链，因为Spring Security中的所有功能都是由过滤器来实现的，这些不同的过滤器各司其职，组成一条完整的过滤器链。

Spring Security 中所有需要构建的对象都可以通过SecurityBuilder来实现，比如的过滤器链、代理过滤器、AuthenticationManager等组件，都由它进行构建。

Spring Security过滤器链的构建主要角色是HttpSecurity，它的主要作用就是创建一个SecurityFilterChain对象，它包含一个路径匹配器以及众多的过滤器。