长夜漫漫，无心睡眠

隐藏输入框部分是必须存在的否则无法正常登录，因为我们要打开csrf防护，所以要拿到token。举例：A想给B转账，而C把自己伪装成了A，然后让A给C转账，这就是C把A账户里的钱转到了自己（C）的账户里了，非常可怕。在跨域的情况下，session id。如果用户具有指定的权限，则显示对应的内容；如果表达式不成立，则不显示对应的元素。向服务端发起请求时，服务端会认为这个请求是合法的，可能发生很多意想不到的事情。为了实现更好的效果，通常添加退出的配置。如果不希望使用默认值，可以通过下面的方法进行修改。

虽然这里面已经包含了很多的表达式(方法)但是在实际项目中很有可能出现需要自己自定义逻辑的情况。判断登录用户是否具有访问当前URL权限。

使用正则表达式进行匹配。和主要的区别就是参数，antMatchers()参数是ant表达式，参数是正则表达式。演示所有以.js结尾的文件都被放行。

是一个高度自定义的安全框架。利用Spring IoC/DI 和 AOP功能，为系统提供了声明式安全访问控制功能，减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity的原因有很多，但大部分都是发现了javaEE的 Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR或EAR级别无法移植。因此如果你更换服务器环境，还有大量工作去重新配置你的应用程序。