Spring Security的权限检查

Spring Security权限检查有两种配置方式，一种就是传统的XML配置/JAVA代码配置（HttpSecurity对象），另一种则是在Controller层使用Annotation.

在源码方面，使用HttpSecurity或者配置http xml tag方式的权限校验是在Filter Chain的最后一个Filter -- FilterSecurityInterceptor中处理的，逻辑上会先根据访问的URL，反向去寻找配置(XML/Java Config)中这个URL所配置的权限是什么。 然后，根据配置的投票器，拿当前访问中的Authentication对象，和配置的权限(一般是EL表达式如hasRole...等)去进行匹配，如果匹配不成功，则会抛出AccessDeniedException异常,由上层Filter:ExceptionTranslationFilter处理。

而由Annotation方式配置的权限，则是在这之后执行的，其原理是使用了Spring AOP，在Controller方法调用之前，会进入MethodSecurityInterceptor类，并且在其父抽象类中实现了校验逻辑，校验方式都是采用了投票器，不再赘述。