1、背景

今天看Securfity的源码，其中org.springframework.security.config.annotation.web.builders.HttpSecurity类的UML看着很奇怪，如下图所示，命名其父类和父接口都实现过SecurityBuilder,为什么自己要再次实现呢？

2、探索

我一开始注意力被泛型吸引了，想着是不是因为用了不同的泛型类的原因，为此我还专门去复习了一下泛型的东西。后来确定和泛型没关系，然后百度了一下，找到了以下网友的博客，为此我还专门写demo验证了他的博客内容，发现确实如此。

1、写在前面

一个系统一般都会有用户角色权限相关的概念，用户需要登录系统并且拥有相应的权限后才能访问对应的资源。

• 认证（Authentication)，即确认用户的身份，也就是上面说的要输入帐号密码登录
• 授权（Authorization），即用户要访问某资源，必须要拥有对应权限

也就是说，用户登录（认证）成功后，会获得此用户拥有的权限，用户在去访问资源时，系统会校验其拥有的权限是否可以访问这个资源。

2、SSO和OAUTH2介绍

SSO（SingleSignOn）的出现是为了解决多系统认证的问题的，这里特别强调一下，它是解决认证问题的。就是通过用户的一次性鉴别登录，当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。