详细描述spring security认征流程

Spring Security是一个强大的Java安全框架，用于保护Web应用程序的访问。认证（Authentication）和授权（Authorization）是其核心功能，它们的流程通常包含以下几个步骤：

1. **请求到达**：客户端发起HTTP请求到受保护的URL。

2. **身份验证**（Authentication）：
- **拦截器（Filtering）**：Spring Security会检查请求是否经过身份验证。如果没有，它会调用`BasicAuthenticationEntryPoint`或`FormLoginEntryPoint`等拦截器。
- **登录页面**：如果未提供有效的认证凭证，会重定向到登录页面(`/login`或自定义URL)。
- **提交用户名密码**：用户在登录页面输入用户名和密码后，提交到服务器。
- **认证器（AuthenticationProvider）**：接收到请求后，使用`UsernamePasswordAuthenticationToken`尝试从数据库、JWT令牌或其他源验证用户身份。

3. **认证成功/失败**：
- 如果认证成功，`AuthenticationManager`会创建一个`Authentication`对象，并将其绑定到`SecurityContext`。
- 如果认证失败，用户通常会被重定向回登录页面，显示错误信息。

4. **创建会话（Session）**（仅对HTTP会话）：如果需要持久化状态，Spring Security会在服务器创建一个新的会话并存储用户的`Authentication`对象。

5. **授权（Authorization）**：
- **访问决策管理器（AccessDecisionManager）**：在每个受保护的方法调用前，Spring Security会检查`AccessDecisionVoter`提供的权限。
- **授权注解**：可以使用@PreAuthorize, @Secured等注解直接限制方法的访问。

6. **权限验证**：如果用户有权限访问资源，请求继续执行；否则，可能被拒绝或重定向到无权访问的页面。

7. **异常处理**：如果在整个流程中出现异常，Spring Security提供了自定义的异常处理机制，比如`AccessDeniedException`。