spring security 的代码比较难，之前我在 ProcessOn 上做了源码导读，所以这里只说关键点。

理解关键点

1. 认证的逻辑有多个 filter 来完成，常用的 filter 如 UsernamePasswordAuthenticationFilter， RememberMeAuthenticationFilter。
2. 认证成功，就会生成 Authentication 对象，可以从 SecurityContextHolder 获取。
3. 有两个核心配置类，HttpSecurity 和 WebSecurity，这两个都是用来配置 springSecurityFilterChain，只不过暴露的方法不一样。

关键代码

第一步执行下面方法，添加 SecurityConfigurer。

jdk 基于 8 版本

在平时的开发中，我们经常会用到 ThreadLocal，本质是一个 Map<Thread, V> 结构。

使用示例

例子来自于官网

在 spring 中，最常用的两种扩展就是 BeanFactoryPostProcessor 和 BeanPostProcessor, 当然还有其他的扩展，比如 ApplicationListener, SpringApplicationRunListener 等等。

BeanFactoryPostProcessor

源码位置: org.springframework.beans.factory.config.BeanFactoryPostProcessor

自动配置类

源码位置: org.springframework.boot.autoconfigure.web.servlet.ServletWebServerFactoryAutoConfiguration

spring boot 启动流程必须懂。

启动类示例:

1
2
3
4
5
6
7
8

@SpringBootApplication
public class HiApplication {

    public static void main(String[] args) {
        // 先执行 SpringApplication 的构造方法，然后执行 run 方法
        SpringApplication.run(HiApplication.class, args);
    }
}

SpringApplication#run

源码位置: org.springframework.boot.SpringApplication#SpringApplication