SpringSecurity(二十一)：权限管理

Spring Security提供的功能主要包含两方面：认证和授权。Spring Security支持多种不同的认证方式，但是无论开发者采用哪种认证方式，都不会影响授权功能的使用，Spring Security很好的实现了认证和授权两大功能的解耦，这也是它受欢迎的原因之一

认证就是确认用户身份，也就是我们常说的登录， 授权则是根据系统提前设置好的规则，给用户分配可以访问某一资源的权限，用户根据自己所具有的权限，去执行相应的操作。

从技术上来说，Spring Security提供的权限管理功能主要有两种类型： 1.基于过滤器的权限管理 2.基于AOP的权限管理

基于过滤器的权限管理主要是用来拦截HTTP请求，拦截下来之后，根据HTTP请求地址进行权限校验。基于AOP的权限管理则主要是用来处理方法级别的权限问题，当调用某一个方法是，通过AOP将操作拦截下来，然后判断用户是否具备相关的权限，如果具备，则允许方法调用，否则禁止方法调用。

根据之前的介绍，我们已经知道，在Spring Security用户登录成功后，会将当前用户登录信息保存在Authentication对象中，Authentication对象有一个getAuthorities方法用来返回当前对象具备的权限信息。

getAuthorities的返回值是Collection