内容摘要：前几天有粉丝私信我：WebSecurity和HttpSecurity啥关系?当时给我问住了，我大概只知道它们之间的关系类似TypeScript和JavaScript的关系，但是具体的细节确实不太清楚。

前几天有粉丝私信我：WebSecurity和HttpSecurity啥关系?实战当时给我问住了，我大概只知道它们之间的干货关系类似TypeScript和JavaScript的关系，但是实战具体的细节确实不太清楚。因此就在周末简单研究了一下。干货

HttpSecurity的实战本质

前几天在Spring Security 5.4的新玩法中介绍了一种新的配置HttpSecurity的方式：

@Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception {      return http             .antMatcher("/**")             .authorizeRequests(authorize -> authorize                     .anyRequest().authenticated()             )             .build(); } 

其实就能够知道HttpSecurity是用来构建包含了一系列过滤器链的过滤器SecurityFilterChain，站群服务器平常我们的干货配置就是围绕构建SecurityFilterChain进行。还得拿出这张老图：

安全过滤链

从上面这个图中可以看出构建好的实战还要交给FilterChainProxy来代理，是干货不是有点多此一举?

WebSecurity的本质

在有些情况下这种确实多此一举， 不过更多时候我们可能需要配置多个SecurityFilterChain来实现对多种访问控制策略。实战

多个SecurityFilterChain

为了精细化的干货管理多个SecurityFilterChain的生命周期，搞一个统一管理这些SecurityFilterChain的云服务器实战代理就十分必要了，这就是干货WebSecurity的意义。下面是实战WebSecurity的build方法的底层逻辑：

@Override protected Filter performBuild() throws Exception {     Assert.state(!this.securityFilterChainBuilders.isEmpty(),          () -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "                + "Typically this is done by exposing a SecurityFilterChain bean "                + "or by adding a @Configuration that extends WebSecurityConfigurerAdapter. "                + "More advanced users can invoke " + WebSecurity.class.getSimpleName()                + ".addSecurityFilterChainBuilder directly");     // 被忽略请求的个数 和 httpscurity的个数 构成了过滤器链集合的大小    int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();    List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);     // 初始化过滤器链集合中的 忽略请求过滤器链         for (RequestMatcher ignoredRequest : this.ignoredRequests) {        securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));    }     // 初始化过滤器链集合中的 httpsecurity定义的过滤器链    for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : this.securityFilterChainBuilders) {        securityFilterChains.add(securityFilterChainBuilder.build());    }    FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);    if (this.httpFirewall != null) {         // 请求防火墙       filterChainProxy.setFirewall(this.httpFirewall);    }    if (this.requestRejectedHandler != null) {         // 请求拒绝处理器       filterChainProxy.setRequestRejectedHandler(this.requestRejectedHandler);    }    filterChainProxy.afterPropertiesSet();    Filter result = filterChainProxy;    if (this.debugEnabled) {        this.logger.warn("\n\n" + "服务器托管