用户请求：

• 用户向应用程序发起请求，通常是访问受保护的资源（例如，一个需要登录的页面）。

检查是否需要认证：

• Spring Security会检查请求的URL是否需要认证。这个检查是基于配置的访问控制规则来决定的。配置类要继承WebSecurityConfigurerAdapter

触发认证：

• 如果请求的资源需要认证，Spring Security会将用户重定向到登录页面（如果未认证），或者直接处理认证（如果用户已经在认证上下文中）。

认证请求：

• 用户在登录表单中输入凭据（如用户名和密码），这些凭据会被提交到Spring Security的认证处理器。

处理认证：

• Spring Security的认证处理器（UsernamePasswordAuthenticationFilter 是默认的处理器），UsernamePasswordAuthenticationFilter会创建一个Authentication接口的实现类对象（UsernamePasswordAuthenticationToken）来接收到用户提交的凭据。
• 处理器会使用认证管理器（AuthenticationManager）来验证凭据。认证管理器会将请求传递给配置的认证提供者（AuthenticationProvider–可以在配置类中启用我们自己的认证提供者）。

认证提供者验证：

• 认证提供者（如DaoAuthenticationProvider）会从UsernamePasswordAuthenticationToken中拿到并验证用户提交的凭据。这通常涉及查找用户的记录，并检查密码是否匹配。
• 认证提供者通过用户详细信息服务（UserDetailsService）加载用户的详细信息，然后进行密码验证。

返回认证结果：

• 如果凭据有效，认证提供者会返回一个包含用户认证信息的Authentication（其实就是实现了Authentication接口的UsernamePasswordAuthenticationToken对象）对象。
• 如果凭据无效，认证提供者会抛出一个认证异常（例如BadCredentialsException）。

更新安全上下文：

• 认证管理器会将返回的Authentication对象存储在Spring Security的SecurityContext中。
• SecurityContext存储在SecurityContextHolder中，以便在整个请求的生命周期内可以访问到认证信息。

处理认证后的请求：

• 如果认证成功，用户会被重定向到他们最初请求的页面，或者根据配置被重定向到一个默认的成功页面/处理器。
• 如果认证失败，用户会被重定向到登录页面/处理器，并显示适当的错误消息。

权限检查：

认证成功后，Spring Security还会基于配置的权限规则来检查用户是否有权限访问请求的资源。这通常发生在请求被处理的阶段。

• FilterSecurityInterceptor: 这是负责进行授权检查的主要过滤器。它会从 SecurityContext 中获取当前用户的 Authentication 对象，并使用其中的权限集合（即 getAuthorities 方法返回的集合）来决定是否允许访问特定资源。
• AccessDecisionManager: FilterSecurityInterceptor 使用 AccessDecisionManager 来做出最终的访问决策。AccessDecisionManager 会将用户的权限集合与配置的访问控制规则进行比较，决定是否允许访问。

• AccessDecisionVoter: 这个组件对用户是否有访问权限进行投票。它会检查用户的权限集合来决定是否允许访问请求的资源。AccessDecisionVoter 可以是基于角色、权限或自定义逻辑的投票器。

• AccessDecisionManager 会根据所有 AccessDecisionVoter 的投票结果来做出最终的决策。如果所有投票者都允许访问，则用户可以访问请求的资源；否则，访问会被拒绝。

实现 UserDetails 接口：

• 创建一个自定义的 UserDetails 实现类，用于封装用户的详细信息，包括用户名、密码和权限等。

java">public class CustomUserDetails implements UserDetails {private final User user; // 你的用户实体private final Collection<? extends GrantedAuthority> authorities;public CustomUserDetails(User user) {this.user = user;this.authorities = user.getRoles().stream().map(role -> new SimpleGrantedAuthority(role.getCode())).collect(Collectors.toList());}@Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {return authorities;}@Overridepublic String getPassword() {return user.getPassword();}@Overridepublic String getUsername() {return user.getUsername();}@Overridepublic boolean isAccountNonExpired() {return true;}@Overridepublic boolean isAccountNonLocked() {return true;}@Overridepublic boolean isCredentialsNonExpired() {return true;}@Overridepublic boolean isEnabled() {return user.isEnabled();}
}

实现 UserDetailsService 接口：

• 创建一个 UserDetailsService 实现类，用于根据用户名加载用户的 UserDetails 实例。

java">@Service
public class CustomUserDetailsService implements UserDetailsService {@Autowiredprivate UserRepository userRepository;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username);if (user == null) {throw new UsernameNotFoundException("User not found");}return new CustomUserDetails(user);}
}

配置 Spring Security：

• 在Spring Security配置中，将 UserDetailsService 注册为一个bean，并配置认证管理器使用这个服务来进行用户认证。

java">@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate CustomUserDetailsService userDetailsService;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().anyRequest().authenticated().and().formLogin().loginPage("/login").permitAll().and().logout().permitAll();}
}

配置密码编码器：

• 使用 BCryptPasswordEncoder 或其他密码编码器来处理用户密码的加密和验证（可以在实现了WebSecurityConfigurerAdapter的配置类中注册）。

java">@Bean
public PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();
}