Spring Security# Tips Summarization

1. 对应spring Security来说，不管是ROLE还是具体的权限，统一authority
   hasRole(‘’) 和 hasAuthority是同一个实现
   基于表达式的权限控制 spring Security支持的表达式非常强大，可以使用方法的参数，方法的返回值
   UserServiceDetails = ClientServiceDetails
2. oauth2获取的token是某个应用的token或者给某个应用下的某个用户获取的token
3. http://projects.spring.io/spring-security-oauth/docs/oauth2.html
4. Princimal对象里的authorities是用户的权限，如果是client_credentials这种模式，权限就是client账号的权限，只要有用户的信息就是用户的权限；不会将client和user的权限整合起来；
   6.oauth2 password 模式client和user账户的两次认证是一个springSecurity FilterChain上的两个不同的Filter发起的，看Filter的执行日志（0/11）
5. ResourceServer的验证流程一个10个Filter： OAuth2AuthenticationProcessingFilter（5）和FilterSecurityInterceptor（10）
6. AuthorizationServer的验证流程一共12个Filter：ClientCredentialsTokenEndpointFilter（5）认证clientid和clientsecret并判断是否有权限 和FilterSecurityInterceptor（12）用户认证并判断是否有权限
7. 获取token的接口/oauth/token里的scope参数，可以填写的authority（role或者普通authority）
8. 对于/oauth/token这个接口来说，client的账户就是用户，user的账户信息就是参数；