带你了解SpringSecurity，快来看看SpringSecurity实战总结~

Spring Security

Spring 是非常流行和成功的 Java 应用开发框架，而Spring Security 正是 Spring 家族中的成员。Spring Security基于 Spring 框架，提供了一套 Web 应用安全性的完整解决方案。主要包括“认证”和“授权”（或者访问控制），一般来说，Web 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分，这两点也是 Spring Security 重要核心功能。

（1）用户认证指的是：验证某个用户是否为系统中的合法主体，也就是说用户可不可以进入系统。用户认证一般要求用户提供用户名和密码，然后通过系统校验来完成认证过程。通俗点说就是系统判断用户是否能登录系统。
（2）用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如再一个商城系统里，对与顾客来说，只能够查看商品的价格，而对于商家来说，他可以修改售卖的商品的价格，而不同的商家也只能修改自己的店铺里商品的价格。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一某些的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。\

Spring Security的特点

可以和 Spring 无缝整合。
全面的权限控制。
专门为 Web 开发而设计。
旧版本不能脱离 Web 环境使用。新版本对整个框架进行了分层抽取，分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境，所以比较重量级。

对比一下Shiro (Apache 旗下的轻量级权限控制框架)。Shiro的特点是：

轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。
通用性。不局限于 Web 环境，可以脱离 Web 环境使用。
缺陷：在 Web 环境下一些特定的需求需要手动编写代码定制。

Spring Security 是 Spring 家族中的一个安全管理框架，实际上，在 Spring Boot 出现之前，Spring Security 就已经发展了多年了，但是使用的并不多，因为 SSM 中整合 Spring Security 比较麻烦，而 Shiro 就显得比较灵活，所以，Spring Security 虽然功能比 Shiro 强大，但是使用率不高。自从有了 Spring Boot 之后，Spring Boot 对于 Spring Security 提供了自动化配置方案，可以使用更少的配置来使用 Spring Security。因此，一般来说，常见的安全管理技术栈的组合是这样的：