---

一、Spring Security 概述

1.1 Spring Security 核心功能

Spring Security 是一个基于 Spring 框架的安全框架，为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案，其核心功能涵盖了认证、授权、防 CSRF、会话管理等多个重要方面。

• 认证（Authentication）：认证是 Spring Security 的基础功能，用于验证用户身份。它通过用户提供的凭证（如用户名和密码），与系统中存储的用户信息进行比对，以确认用户身份的合法性。例如，在一个在线购物系统中，当用户登录时，需要输入用户名和密码，Spring Security 会验证这些信息是否与数据库中存储的用户数据匹配。如果匹配成功，用户就被认为是合法的，从而可以继续访问系统的其他功能；如果匹配失败，系统会提示用户重新输入正确的用户名和密码，或者进行找回密码等操作。Spring Security 支持多种认证方式，包括基于表单的认证、HTTP Basic 认证、OAuth2 认证、JWT 认证等，以满足不同场景下的安全需求。
• 授权（Authorization）：授权是在用户通过认证之后，决定用户能够访问哪些资源或执行哪些操作的过程。它基于用户的角色、权限等信息进行判断。例如，在一个企业内部管理系统中，管理员角色可能拥有创建、修改、删除用户的权限，而普