登陆认证框架：SpringSecurity

最近想给自己的小系统搭建一个登录认证服务，最初是想着一套oauth2权鉴就可以，但是发现这个oauth2只是权鉴，具体的登录认证需要由 SpringSecurity来进行实现。

也就是说SpringSecurity 主要就是用来进行用户名、密码认证的登录框架

然后看了一下 SpringSecurity,发现之前用过，但是只是用过，具体的流程不清楚。

趁这个机会，将SpringSecurity源码大体的整理看一下。

概述

SpringSecurity 的功能就是 认证、授权、防止伪造登录



其核心就是一组过滤链，通过各种的过滤器对请求进行过过滤，然后放行符合规则的请求。

具体流程可以看下图：

流程

从上面我们可以清楚的认知到，我们的请求是由多个过滤器过滤之后才能访问到具体的api 的，那么各个过滤器是怎么进行的合作的呢？

这章只说登录认证

1. AbstractAuthenticationProcessingFilter 过滤器

首先是 SpringSecurity一系列过滤器，然后走到AbstractAuthenticationProcessingFilter 这个过滤器，这个过滤器就是一个模版，主要是用来进行 识别是否是 认证请求，然后将不是认证请求到给到下一个过滤器的实现类（就是一组过滤器的串联）

这个过滤器中，主要的是doFilter方法，这个方法中requiresAuthentication 识别是否是认证请求，如果是，那么交给 attemptAuthentication 这个方法去处理，但是attemptAuthentication方法是抽象方法，需要子类去实现，然后我们就找到UsernamePasswordAuthenticationFilter 过滤器，也就是attemptAuthentication方法的具体实现类，也就是AbstractAuthenticationProcessingFilter的子类。

流程可以看图

2. UsernamePasswordAuthenticationFilter 过滤器

它实际上是处理 认证请求的过滤器，AbstractAuthenticationProcessingFilter的子类，真正实现类attemptAuthentication方法。

attemptAuthentication方法中，除了进行对请求中用户名、密码参数的处理外，核心的一行是this.getAuthenticationManager().authenticate(authRequest); 这个就是用 选择合适的 验证类来进行验证，从名称我们也能看出AuthenticationManager 是一个管理类，这个里面有多个AuthenticationProvider 对象。选择合适的验证就行。

但是这个getAuthenticationManager是一个接口，需要找到真正的实现类才行。

流程可以看图

3. ProviderManager 管理类

这个类就是真正选择具体的认证 类，authenticate方法遍历认证类，然后将请求中的用户名、密码进行验证的。

从上图可以看到，它就是对所有的认证类遍历，选择合适的进行。

provider.authenticate(authentication); 就是它的方法的核心代码。

但是AuthenticationProvider 也是一个接口，需要找其真正的实现类。

4. AbstractUserDetailsAuthenticationProvider(抽象类)

authenticate 方法的具体实现是AbstractUserDetailsAuthenticationProvider类实现的。

我们具体看authenticate 方法，然后发现这个方法，就是先去内存中检查，是否有这个用户名 和密码，如果没有在去调用retrieveUser方法，查找这个 用户名 和密码。



然后找到之后，在去调用additionalAuthenticationChecks 方法去验证 持久化中的（内存或者retrieveUser方法找到的用户名和密码）是否和请求中的用户名密码一致，如果是一致的，那么就调用additionalAuthenticationChecks 方法去验证。

但是retrieveUser 和 additionalAuthenticationChecks 方法都是抽象方法，具体的实现，是子类进行的。

5. DaoAuthenticationProvider（子类）

这个是AbstractUserDetailsAuthenticationProvider 的子类，实现了retrieveUser 和 additionalAuthenticationChecks 方法，我们可以看到两个方法：

注意看 this.getUserDetailsService().loadUserByUsername(username); 这个方法不就是我们自定义 获取真正的（也就是持久化 中）用户名 和 密码 时需要重写的方法么，返回的user 类，不就是UserDetails 这个类的子类么。

而且，我们在看additionalAuthenticationChecks 这个方法，不就是调用PasswordEncoder 类中的matches 方法去对比的么

至此，我们就将 SpringSecurity 用户登录验证流程走通了。

我们将这个进行一个串联

6. 串联

这里我们就将 SpringSecurity 中 用户验证 流程串联完成了，我们依据这个可以写定制一个流程去进行。下一章是 SpringSecurity 认证的 实践。