一、简单导入依赖

        1、导入pom

java"><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.6.2</version></parent><modelVersion>4.0.0</modelVersion><artifactId>springsecurity-simple-demo</artifactId><version>1.0-SNAPSHOT</version><properties><java.version>8</java.version></properties><dependencies><!-- web 支持 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!-- SpringSecurity依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency></dependencies><build><plugins><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId></plugin></plugins></build>

2、创建controller测试

java">@SpringBootApplication
public class SpringSecuritySimpApplication {public static void main(String[] args) {SpringApplication.run(SpringSecuritySimpApplication.class,args);}
}@RestController
public class HelloController {@RequestMapping("hello")public String hello() {return "hello world";}}

3、简单导入后，接口资源就受到保护了，是什么原理，以下引申出三个问题

1、如何在只是导入了一个springsecurity-statar 所有的接口都进行保护了；

2、登录页面的这个html 是从何而来，我们自己项目也没有写html怎么就出来了；

3、登录页的这个user 以及默认的用户名和密码是怎么来的；

二、问题1：只是导入了一个springsecurity-statar 依赖，为何 所有的接口都进行保护了

2.1  DelegatingFilterProxy  

  DelegatingFilterProxy  作用是打通servlet 和spring 通讯的桥梁，介入servilet 容器和spirng 应用；我们在DelegatingFilterProxy  基础上使用spring提供的过滤器都被该过滤器所代理；

2.2 FilterChainProxy 、

FilterChainProxy 为过滤器链，允许委托其他多个过滤器，底层实现,框架做好了，不需要我们处理；

2.3  SecurityFilterChain 

SecurityFilterChain 我们自己配置使用的过滤器链，提供我们自定义配置；该类是我们接触到的，最终也是要配置该过滤器来实现一系列的验证

2.4  SpringBootWebSecurityConfiguration 

SpringBootWebSecurityConfiguration 每一个starter都有一个autoconfig入口配置，该类是入口，从该类开始出发，追求答案

2.4.1  注解 @ConditionalOnDefaultWebSecurity

进入后，导入了一个 DefaultWebSecurityCondition 的类

2.4.1.1 源码

2.4.2 @Conditional(DefaultWebSecurityCondition.class）

   里面有个conditon注解@Conditional(DefaultWebSecurityCondition.class)，DefaultWebSecurityCondition进去后看到里面有两个方法；
条件1：@ConditionalOnClass({ SecurityFilterChain.class, HttpSecurity.class }) 判断是否有class文件，SecurityFilterChain 或者HttpSecurity，只要导入了，肯定会有这两个class的文件；即使我们不配置；
条件2：@ConditionalOnMissingBean({ WebSecurityConfigurerAdapter.class, SecurityFilterChain.class })   找不到对应的bean，注意这个是bean，而不是class，因我们创建的时候，没有重写或者继承WebSecurityConfigurerAdapter 所以是找不到的；至此该注解条件生效；

2.4.2.1 源码截图

2.4.3  WebSecurityConfigurerAdapter  

该类作用：后续我们可以继承该类，用于重写里面方法，配置自己的验证规则；

跟随代码  @ConditionalOnMissingBean({ WebSecurityConfigurerAdapter.class) 进到该类后，找到 configure(HttpSecurity http)  方法，是不是一下子豁然开朗了；看到了我们熟悉的配置；

  这个配置是不是很熟悉了： http.authorizeRequests((requests) -> requests.anyRequest().authenticated());

所有的请求都需要认证；至此，导入依赖自动加了认证；spring官方也推荐我们重写该方法配置；

三、问题2：登录页面的这个html 是从何而来

是不是有疑问，这个页面我自己项目也没写，怎么就到这个form表单页面了；

3.1  FormLoginConfigurer 

FormLoginConfigurer中的init() 可以得知，初始化会调用 ，该方法做了什么，是不是初始化了一个DefaultLoginPageGeneratingFilter 的过来器

3.1.1 源码截图

3.2  流程分析

1. 请求/hello 接口，在引入 spring security 之后会先经过一些列过滤器

2. 在请求到达 FilterSecuritylnterceptor时，发现请求并未认证。请求拦截下来，并抛出

AccessDeniedException 异常。

抛出AccessDeniedExceptsn 的异常会被 ExceptionTranslationFilter 捕获，这个Filter 中

会调用 LoginUrlAuthenticationEntryPoint#commence 方法给客户端返回 302，要求客户

端进行重定向到 /login 页面。

4. 客户端发送/login 请求。

5. /login 请求会再次被拦截器中 DefaultLoginPageGeneratingFilter 拦截到，并在拦截器中返回生成登录页面。

3.3  DefaultLoginPageGeneratingFilter

DefaultLoginPageGeneratingFilter 默认的redirect页面，至此自动生成的登录页面是通过浏览器生成一个表单写出的；

3.3.1 源码截图

四、问题3：默认的用户名和密码是怎么来的

是不是疑问为什么控制台能打印出密码呢，怎么实现的；

4.1 http.formLogin()方法

用来初始化表单一些配置，如用户名 密码 等；

4.1.1 源码

4.2 FormLoginConfigurer 新建

4.3 UsernamePasswordAuthenticationFilter 

UsernamePasswordAuthenticationFilter 通过构造方法里面new了一个token过滤器，查看attemptAuthentication 方法 

4.4  断点调试 ProviderManager

通过  Authentication 参数可以知道传过来的是 一个UsernamePasswordAuthenticationToken 对象；

4.5 DaoAuthenticationProvider 最终实现类

4.5.1  InMemoryUserDetailsManager

   跟踪后得知，UserDetailsService的实现类是InMemoryUserDetailsManager，最终从内存中获取到用户信息，然后得到密码；

4.6 InMemoryUserDetailsManager 基于内存的用户会生效

我们也没有配置这个基于内存的用户信息，为什么自动生成用户和密码了

4.6.1  UserDetailsServiceAutoConfiguration

一般默认配置都是有一个starter 启动器

4.6.2  @ConditionalOnClass(AuthenticationManager.class)

由注解得知，@ConditionalOnClass(AuthenticationManager.class)
当类中有AuthenticationManager，导入依赖后，肯定会有；
@ConditionalOnMissingBean(
        value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class,
                AuthenticationManagerResolver.class }；

当bean中没有 AuthenticationManager并且UserDetailsService并且AuthenticationProvider 时候，该类就生效；

所以说，只要我们重新定义了这三个其中一个设置为bean，那么基于InMemoryUserDetailsManager 这个就不生效了，这就是为什么我们实现了UserDetailsService后，就没有内存认证的这个类了；