當指定http元素的auto-config=”true”時，就相當於如下內容的簡寫。

   <security:http>
      <security:form-login/>
      <security:http-basic/>
      <security:logout/>
   </security:http>

在Spring Security中，AuthenticationManager的默認實現是ProviderManager，而且它不直接自己處理認證請求，而是委托給其所配置的AuthenticationProvider列表，然後會依次使用每一個AuthenticationProvider進行認證，如果有一個AuthenticationProvider認證後的結果不為null，則表示該AuthenticationProvider已經認證成功，之後的AuthenticationProvider將不再繼續認證。然後直接以該AuthenticationProvider的認證結果作為ProviderManager的認證結果。

當我們在使用NameSpace時， authentication-manager元素的使用會使Spring Security 在內部創建一個ProviderManager，然後可以通過authentication-provider元素往其中添加AuthenticationProvider。當定義authentication-provider元素時，如果沒有通過ref屬性指定關聯哪個AuthenticationProvider，Spring Security默認就會使用DaoAuthenticationProvider。

spring security筆記