spring security小结（一）

1、SpringContextHolder用于访问SpringContext。

?

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

?

??? SpringContextHolder保存了当前和应用系统交互的负责人（principal）的详细信息。

??? 在Spring安全系统中大多数鉴权机制都返回UserDetails的实例作为负责人（principal）。

2、SpringContext是用于保存鉴权Authentication以及和特定请求相关的的安全信息。

?

3、Authentication，是以Spring安全系统特有的方式表示负责人(principal)。

?

??? Authentication提供了重要方法getAuthorities()来获得权限。该方法提供了一组GrantedAuthority对象，一个GrantedAuthority对象就表示一个角色。

?

??? 可以从Authentication对象中获得一个负责人(principal)，principal就是一个对象。在大多数时候，这个对象可以映射为一个UserDetails对象。UserDetails是Spring安全系统中的一个中心接口。它表示一个负责人（principal），只不过是以可扩展和特定应用程序的方式来表示。可以认为UserDetails是在你的用户数据库和Spring安全系统SecurityContextHolder内所需要的内容之间的适配器。作为代表来自你的用户数据的表征，通常可以将UserDetails映射为你的应用程序中提供的原始的对象，这样你就可以调用特定的业务方法（例如getEmail(),getEmployeeNumber()等等了）。

?

4、GrantedAuthority用于反映传递给负责人(principal)在应用范围内的许可。

?

5、UserDetails用于提供必要的信息，以构造一个基于应用系统中的DAO或者其他安全数据来源的鉴权的对象。

?

6、UserDetailsService根据传入的基于字符串的用户名(或者是认证ID，或者其他的类似变量)来创建一个UserDetails。

?

UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

?

??? 这是在Spring安全系统中获取一个用户的信息的最普遍的方法，你可以看到在框架内，无论何时需要用户的信息的时候都是使用这个方法来获取。在成功鉴权后，UserDetails就用于构建Authentication对象，该对象保存在Security
ContextHolder。