思路：

spring security

1、用户输入用户名密码。

2、验证：从库中（可以是内存、数据库等）查询该用户的密码、角色，验证用户名和密码是否正确。如果正确，则将填充Authentication（UsernamePasswordAuthenticationToken是其实现类)，填充Authentication，会将用户的角色也填充进去。

Authentication authentication= new UsernamePasswordAuthenticationToken(auth.getName(),

        auth.getCredentials(), AUTHORITIES);//设置用户名、密码、权限列表创建Authentication对象,AUTHORITIES为权限列表

3、授权：根据WebSecurityConfigurerAdapter中的configure(HttpSecurity httpSecurity)配置，FilterSecurityInterceptor会 判断此用户是否可以访问handler。如果没有权限，则会抛出异常。

4、SecurityContextHolder会管理填充好的Authentication，SecurityContextHolder利用ThreadLocal管理这些安全对象，这样在逻辑代码中随时取出用户的信息。

java web token

参考：https://www.cnblogs.com/BonnieWss/p/11129400.html

spring security与jwt整合

1、从请求头中取出jwt，并解析，如果能正确解析，说明可以通过验证，并取出其负载信息UserDetails

2、将UserDetails填充Authentication

Authentication authentication= new UsernamePasswordAuthenticationToken(userDetails,

        userDetails.getCredentials(), userDetails.getAuthorities);//设置用户名、密码、权限列表创建Authentication对象,AUTHORITIES为权限列表

3、后续步骤和spring security一样

具体代码参考：https://www.cnblogs.com/BonnieWss/p/11149699.html