springsecurity流程查看

### Spring Security 工作流程详解

#### 请求过滤链初始化
当应用程序启动时，Spring Security 配置了一系列的安全过滤器并将其注册到应用的过滤器链中。这些过滤器按照特定顺序排列，在每次 HTTP 请求到达 Servlet 容器之前依次处理请求[^1]。

#### 用户认证过程
对于未经过身份验证的用户发起受保护资源访问请求的情况：

- **进入过滤器**：请求首先进入 `UsernamePasswordAuthenticationFilter` 的父类 `AbstractAuthenticationProcessingFilter` 执行 `doFilter()` 方法。

- **判断是否可处理当前请求**：如果该过滤器能够处理此类型的请求，则继续执行；否则会传递给下一个过滤器来尝试匹配其他路径模式下的请求。

- **实现具体逻辑**：具体的认证行为是由子类如 `UsernamePasswordAuthenticationFilter` 来完成的，它负责收集用户名密码信息并向系统提交认证请求[^4]。

#### 身份验证管理
为了使自定义的身份验证机制生效，通常需要覆盖默认配置中的某些组件实例化方式。例如，通过重载 `authenticationManagerBean()` 方法，并加上 `@Bean` 注解让其成为 Spring IoC 容器托管的一个 Bean，从而允许开发者注入自己的业务逻辑或依赖项[^3]。

#### 成功/失败后的响应
一旦完成了用户的认证操作之后，

- 如果认证成功，将会调用 `sessionStrategy.onAuthentication()` 进行一系列与 Session 相关的操作（比如创建新的 session），并将已认证的信息存储至 `SecurityContextHolder` 中以便后续授权决策使用；

- 若发生错误情况，则触发相应的异常处理器来进行友好提示或是记录日志等动作。

#### 用户登出功能
点击页面上提供的注销按钮后，
程序将清除掉保存于内存里的安全上下文 (`SecurityContext`) 数据结构，确保下次加载新页面时不会残留之前的登录状态信息，并最终跳转回指定的目标地址，通常是系统的主页位置[^2]。

// 示例代码展示如何清理 Security Context 并重定向
public class LogoutHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request,
                                HttpServletResponse response,
                                Authentication authentication) throws IOException, ServletException {
        SecurityContextHolder.clearContext();
        getRedirectStratergy().sendRedirect(request,response,"/");
    }
}