1.Spring security

   登录验证拦截器

   资源管理拦截器

   认证和授权：
      认证：登录时候确实存在此用户。 登录要认证！
      授权：登录后判断权限级别，然后赋予相应的操作权限。

2.代码实现思路：

用户登陆，会被AuthenticationProcessingFilter拦截，调用AuthenticationManager的实现，而且AuthenticationManager会调

用ProviderManager来获取用户验证信息（不同的Provider调用的服务不同，因为这些信息可以是在数据库上，可以是在LDAP服务

器上，可以是xml配置文件上等），如果验证通过后会将用户的权限信息封装一个User放到spring的全局缓存。

SecurityContextHolder中，以备后面访问资源时使用。

Spring security 和 AOP 学习