自己做的项目急需权限管理模块，所以赶紧就着SpringSecurity的视频看着学了学，虽然上次学习失败了，但也不影响这次从头再来，也算是为这次奠定了一点点基础了吧。通过这次学习，我也又一次意识到了，自己的学习和领悟能力有多么的弱，自己真的是水的一批，没有天赋要更加努力才行。

好了，进入正题。

SpringSecurity认证

首先大致的认证流程就是：用户请求过来，经过一系列的filter（AuthenticationFilter）来进行过滤，如果符合哪个filter中所定义的请求url，就在filter中开始认证流程，请求认证Manager进行认证。（不同的请求比如 普通的登录时/login，手机号登录可能就是/smsLogin）
然后就会牵扯到下一个类，也就是认证管理器相当于，大概名字叫做 AuthenticationManager，一看manager就知道是个管理者。里面收拢了很多用来认证的类，也就是各种各样的Provider（认证器）。在Manager中会遍历每一个provider，看看能不能对当前传递进来的用户信息进行认证，可以的话就进行到Provider中进行认证。
Provider中有着authenticate方法来对用户信息进行认证，这其中还包含了另一个实现，UserDetailService，通过这个Service来寻找对应的用户，我们的数据库查找逻辑就是从这个service中进入的。通过service拿到用户信息后，重新回到provider中进行比对，比对成功了就算是认证成功了。
这其中贯穿的还有一个类用来保存用户信息，在Security中默认是叫UsernamePasswordAuthenticationToken，说是叫一个token，就是用来保存信息的，在最一开始传入filter的时候，也会生成一个对应的登录token。
我们写自定义的时候可以比对着官方给的类来临摹，再结合着一些教学视频来看，还是比较好写出来的。

SpringSecurity鉴权踩坑

我写好了登录之类的之后，看了官方文档有介绍说每个用户可以有对应的角色，可以针对角色来定义相应的权限管理。然后我就东奔西找，死活没找到角色是怎么定义的。可能也是我是第一次接触这类权限管理框架的缘故，实在是迷。我的第一反应是，角色应该被定义在数据库中，可是看了好多篇博客，都没提数据库的事。知道有RBAC权限管理这么回事，可是RBAC功能有点太过于强大，不是我要实现的目标。。。天呐，到底该把角色定义到哪里。后来终于翻到有的博客中写到获取用户角色的方法 public Collection<? extends GrantedAuthority> getAuthorities()，看着这个我也是摸不着头脑。。想想有的人是在Security给定的User类的构造方法中传入一些角色，但是我需要编写自己的User实体类，构造方法的方法也泡汤了。。
中间还以为只要是登录上的角色默认都会加上角色，可是试了试加上 @PreAuthorize（"hasRole('USER')"），还是访问不到。
最后终于迷过来，自己写的User类是实现了UserDetails接口的，里面是有上面提到的getAuthorities方法，只不过里面return了一个null，实际上是可以在这里面定义用户逻辑的。因为我的应用场景比较简单，登录上的角色都是User，所以直接在方法里返回了一个ROLE_USER

image.png