首先你要明白springsecurity的原理是什麼

springSecurity在我們進行使用者認證以及授予許可權的時候，透過各種各樣的攔截器來控制權限的訪問，從而實現安全。

對Web資源的保護，就是靠Filter實現的。

一般來說，我們的Filter都是配置在web.xml中，但是springSecurity不一樣，它在web.xml中配置的只是一個代理，而真正起作用的Filter是作為Bean配置在Spring中的。web.xml中的代理依次呼叫這些Bean，就實現了對Web資源的保護，同時這些Filter作為Bean被Spring管理，所以實現AOP也很簡單，真的是一舉兩得啊。

springSecurity中提供的Filter不少，有十多個，一個一個學起來比較複雜。但是對於我們Web開發者來說，常用的就那麼幾個，

從上到下，它們實現的功能依次是1、制定必須為https連線；2、從Session中提取使用者的認證資訊；3、退出登入；4、登入；5、記住使用者；6、所有的應用必須配置這個Filter。

一般來說，我們寫Web應用只需要熟悉這幾個Filter就可以了，如果不需要https連線，連第一個也不用熟悉。

springsecurity是對許可權的控制。

應用的安全性包括使用者認證（Authentication） 和 使用者授權（Authorization） 兩個部分。

①使用者認證指的是驗證某個使用者是否為系統中的合法主體，也就是說使用者能否訪問該系統。使用者認證一般要求使用者提供使用者名稱和密碼。系統透過校驗使用者名稱和密碼來完成認證過程。

② 使用者授權指的是驗證某個使用者是否有許可權執行某個操作。在一個系統中，不同使用者所具有的許可權是不同的。比如對一個檔案來說，有的使用者只能進行讀取，而有的使用者可以進行修改。一般來說，系統會為不同的使用者分配不同的角色，而每個角色則對應一系列的許可權。

spring security的主要核心功能為 認證和授權，所有的架構也是基於這兩個核心功能去實現的。

=================================

在每個微服務中，需要獲取使用者的角色，然後根據角色識別是否允許操作指定的方法，Spring Security中定義了四個支援許可權控制的表示式註解，分別是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前兩者可以用來在方法呼叫前或者呼叫後進行許可權檢查，後兩者可以用來對集合型別的引數或者返回值進行過濾。在需要控制權限的方法上，我們可以新增@PreAuthorize註解，用於方法執行前進行許可權檢查，校驗使用者當前角色是否能訪問該方法。

security可以和閘道器整合到一起，比喻spring 的第一代閘道器zuul和新的二代spring cloud geteway 閘道器都可以和security整合。至於security怎麼確保安全，security是透過執行一系列過濾器鏈來完成安全檢驗，安全性可靠，我有一套自己搭的spring cloud腳手架專案，裡面就有security和一代閘道器zuul的整合，可以去我的gitee上去看，歡迎私信我哦。