登陆认证框架：SpringSecurity

最近想给自己的小系统搭建一个登录认证服务，最初是想着一套oauth2权鉴就可以，但是发现这个oauth2只是权鉴，具体的登录认证需要由 SpringSecurity来进行实现。
也就是说SpringSecurity 主要就是用来进行用户名、密码认证的登录框架
然后看了一下 SpringSecurity,发现之前用过，但是只是用过，具体的流程不清楚。
趁这个机会，将SpringSecurity源码大体的整理看一下。

概述

SpringSecurity 的功能就是认证、授权、防止伪造登录

其核心就是一组过滤链，通过各种的过滤器对请求进行过过滤，然后放行符合规则的请求。
具体流程可以看下图：

流程

从上面我们可以清楚的认知到，我们的请求是由多个过滤器过滤之后才能访问到具体的api 的，那么各个过滤器是怎么进行的合作的呢？
这章只说登录认证

1. AbstractAuthenticationProcessingFilter 过滤器

首先是 SpringSecurity一系列过滤器，然后走到AbstractAuthenticationProcessingFilter 这个过滤器，这个过滤器就是一个模版，主要是用来进行识别是否是认证请求，然后将不是认证请求到给到下一个过滤器的实现类（就是一组过滤器的串联）
这个过滤器中，主要的是doFilter方法，这个方法中requiresAuthentication 识别是否是认证请求，如果是，那么交给 attemptAuthentication 这个方法去处理，但是attemptAuthentication方法是抽象方法，需要子类去实现，然后我们就找到UsernamePasswordAuthenticationFilter 过滤器，也就是attemptAuthentication方法的具体实现类，也就是AbstractAuthenticationProcessingFilter的子类。

流程可以看图

2. UsernamePasswordAuthenticationFilter 过滤器

它实际上是处理认证请求的过滤器，AbstractAuthenticationProcessingFilter的子类，真正实现类attemptAuthentication方法。

attemptAuthentication方法中，除了进行对请求中用户名、密码参数的处理外，核心的一行是this.getAuthenticationManager().authenticate(authRequest); 这个就是用选择合适的验证类来进行验证，从名称我们也能看出AuthenticationManager 是一个管理类，这个里面有多个AuthenticationProvider 对象。选择合适的验证就行。
但是这个getAuthenticationManager是一个接口，需要找到真正的实现类才行。

流程可以看图

3. ProviderManager 管理类

这个类就是真正选择具体的认证类，authenticate方法遍历认证类，然后将请求中的用户名、密码进行验证的。
从上图可以看到，它就是对所有的认证类遍历，选择合适的进行。
provider.authenticate(authentication); 就是它的方法的核心代码。
但是AuthenticationProvider 也是一个接口，需要找其真正的实现类。

4. AbstractUserDetailsAuthenticationProvider(抽象类)

authenticate 方法的具体实现是AbstractUserDetailsAuthenticationProvider类实现的。
我们具体看authenticate 方法，然后发现这个方法，就是先去内存中检查，是否有这个用户名和密码，如果没有在去调用retrieveUser方法，查找这个用户名和密码。

然后找到之后，在去调用additionalAuthenticationChecks 方法去验证持久化中的（内存或者retrieveUser方法找到的用户名和密码）是否和请求中的用户名密码一致，如果是一致的，那么就调用additionalAuthenticationChecks 方法去验证。