身份认证

判断一个用户是否为合法用户的处理过程

授权

授权，即访问控制，控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源，对于某些资源没有权限是无法访问的

解决方案

• Shiro（老牌）
• Spring Security（主流）
• 开发者自定义

Spring Security 简介

整体架构

• 认证和授权独立存在（方便整合外部方案）