現在讓我們來探討在Web應用程序中使用Spring Security的情況（未啟用web.xml安全性）。 如何對用戶進行身份驗證并建立安全上下文？ 考慮典型的Web應用程序的身份驗證過程： 1. 您訪問主頁，然后單擊鏈接。 2. 請求轉到服務器，服務器確定您已請求受保護的資源。 3. 由于您目前尚未通過身份驗證，因此服務器會發回一個響應，指示您必須進行身份驗證。響應將是HTTP響應代碼，或重定向到特定網頁。 4. 根據身份驗證機制，您的瀏覽器將重定向到特定的網頁，以便您可以填寫表單，或者瀏覽器將以某種方式檢索您的身份（通過BASIC身份驗證對話框，cookie，X.509證書等） ）。 5. 瀏覽器將向服務器發回響應。這將是包含您填寫的表單內容的HTTP POST，或者包含您的身份驗證詳細信息的HTTP標頭。 6. 接下來，服務器將決定所呈現的憑證是否有效。如果它們有效，則下一步將會發生。如果它們無效，通常會要求您的瀏覽器再次嘗試（因此您將返回上面的第二步）。 7. 將重試您進行身份驗證過程的原始請求。希望您已通過足夠授權的權限進行身份驗證以訪問受保護資源。如果您有足夠的訪問權限，請求將成功。否則，您將收到HTTP錯誤代碼403，這意味著“禁止”。 Spring Security具有不同的類，負責上述大多數步驟。 主要參與者（按照它們使用的順序）是`ExceptionTranslationFilter`，`AuthenticationEntryPoint`和“認證機制”，它負責調用我們在上一節中看到的AuthenticationManager。