migo_的专栏

**区别**：OpenID Connect不仅提供了OAuth 2.0的授权框架，还加入了用户身份信息（ID Token）的标准化，适用于现代移动和单页面应用的用户身份认证。- **区别**：JWT是无状态的，服务器不需要存储会话信息，非常适合分布式微服务架构。- **区别**：与会话认证不同，Token认证不需要服务器维持会话状态，更适合分布式系统和单页面应用（SPA）。- **区别**：OAuth提供了更细粒度的控制，允许第三方应用访问特定的资源，适用于API安全和第三方应用集成。

加密机制：加密是保护数据在传输和存储过程中安全性的核心技术。通过对数据进行加密，可以确保只有拥有解密密钥的授权用户可以访问和读取数据。常见的加密算法包括对称加密（如AES）和非对称加密（如RSA）。数字签名机制：数字签名用于验证数据的完整性和来源。通过使用私钥对数据进行签名，接收方可以使用公钥验证签名的有效性，从而确保数据在传输过程中没有被篡改，并且确实来自声称的发送方。身份认证机制：身份认证是确认用户或实体身份的过程。

Spring Security是一个框架，致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样，Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。Spring Security是Spring采用 `AOP`思想，基于 `servlet过滤器`实现的安全框架。它提供了完善的认证机制和方法级的授权功能。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。

当用户提交凭据时接下来，身份验证被传递到 AuthenticationManager 以进行身份验证如果身份验证失败，则为“失败”如果身份验证成功，则为“成功”。如下我们只需要实现 UserDetailsService 接口，spring就会自动注入我们的认证方法（可以引入其他存储中间件做替换）@Service@Autowired@Override// 模拟jdbc获取用户信息// 设置登录角色。

过滤器有很多，有时候，执行的顺序可能会影响你的功能，所以我们可以通过打印过滤器的顺序，来看下我们所处的位置。或者通过org.springframework.security.config.annotation.web.builders.FilterOrderRegistration 类来看所有过滤器的顺序。首先，Spring Security 对 Servlet 的支持是基于Servlet过滤器的，所以我们肯定要通过过滤器的改写来实现这个功能，下图是secuityFilterChain 所在的位置。