昨天介绍了SpringSecurity快速入门，经过昨天的入门案例，我们对SpringSecurity的使用有了一定的了解，但是在入门程序中存在两个问题:

一、Spring Security介绍

spring security 是基于 spring 的安全框架。它提供全面的安全性解决方案，同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上，spring security 充分利用了依赖注入（DI）和面向切面编程（AOP）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。是一个轻量级的安全框架。它与 Spring MVC 有很好地集成.

Spring cloud Alibaba

一. 为什么使用spring cloud alibaba

很多人可能会问，有了spring cloud这个微服务的框架，为什么又要使用spring cloud alibaba这个框架了？最重要的原因在于spring cloud中的几乎所有的组件都使用Netflix公司的产品，然后在其基础上做了一层封装。然而Netflix的服务发现组件Eureka已经停止更新，我们公司在使用的时候就发现过其一个细小的Bug；而其他的众多组件预计会在明年(即2020年)停止维护。所以急需其他的一些替代产品，也就是spring cloud alibaba，目前正处于蓬勃发展的态式。

在学习此之前回顾一下SpringSecurity认证授权原理。

此篇文章包含springsecurity认证授权回顾及分布式系统认证方案；

篇幅过长，拆分为：

part1： 认证授权原理回顾及分布式系统认证方案；

part2： oauth2项目搭建及授权方式测试；

1. Spring Security核心架构总览

1.1 安全过滤器链（Security Filter Chain）

• DelegatingFilterProxy

一、JWT核心机制解析

1.1 JWT令牌结构分解

Spring Security框架

spring 官方给出了几张图片说明 spring security 是什么? 我就挑出两张看看吧

全文大意是说, spring security是一个过滤器, 借助 DelegatingFilterProxy 搭建了一条servlet生命周期 和 spring bean 之间的桥梁

职业焦虑转化机遇：
35+程序员常面临技术迭代压力，而安全领域正成为企业刚需。据Gartner统计，2025年全球网络安全支出将突破$2600亿，掌握安全框架能显著提升职场竞争力7。

对于一些重要的操作，有些请求需要用户验明身份后才可以进行；有时候，可能需要与第三方公司合作，存在系统之间的交互，这时也需要验证合作方身份才能处理业务。这样做的意义在于保护自己的网站安全，避免一些恶意攻击导致数据和服务的不安全。在互联网的世界里，这些往往是必需的，因为互联网中存在太多的恶意攻击，保证自己网站安全是十分必要的。

为了提供安全的机制，Spring提供了其安全框架Spring Security，它是一个能够为基于Spring生态圈，提供安全访问控制解决方案的框架。它提供了一组可以在Spring应用上下文中配置的机制，充分利用了Spring的强大特性，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

作者｜Sans_

https://juejin.im/post/5da82f066fb9a04e2a73daec

一.说明

SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.