https://spring.io/projects/spring-security
认证判断用户有没有登录。
授权 是访问有没有访问的权限
Spring MVC 的核心组件是DispatcherServlet，所有的组件都是交给DispatcherServlet处理，然后将请求分发给控制器，具体由某个控制器控制请求，控制器可以由多个
Spring MVC相关的内容

过滤器和DispatcherServlet的关系就好比，拦截器和Controller之间关系
利用统一的机制，处理系统，利用了JavaEE的规范Filter，顶层有很多的Filter。

相对源码和应用有一个更深的了解，推荐网站
http://spring4all.com/
简单模拟实现，尽可能的简单。
准备demo级别的项目，在简单的基础演示Security，学习完后在引入到项目中。
userMapper

userService

HomeController

加入依赖


启动后，在还没有登录的时候Spring Security会自带登录界面

会在内存中生成账号和密码

在业务层进行处理





内置认定规则

自制的认定规则

授权的管理



处理获取成功或失败可以通过两种，一种是通过

将参数放入到请求参数上，将请求转发到页面上

重定向

转发
整个过程一个请求

举个例子

转发的话复用这个程序。

退出是删除认证
退出时，成功给出一个指示。
当不知重定向和转发的时候可以先用重定向

授权进行配置

编写denied路径
拒绝访问的提示页面


判断一下是否是user，如果是登录成功了。

验证验证码是在验证账号密码之前
增加Filter，处理验证码