1. 前言
我们上一篇介绍了UsernamePasswordAuthenticationFilter
的工作流程,留下了一个小小的伏笔,作为一个Servlet Filter应该存在一个doFilter
实现方法,而它却没有,其实它的父类AbstractAuthenticationProcessingFilter
提供了具体的实现。稍后我们会根据这个实现引出今天的主角AuthenticationManager
,来继续介绍用户的认证过程。
2. AbstractAuthenticationProcessingFilter
AbstractAuthenticationProcessingFilter
作为UsernamePasswordAuthenticationFilter
的父类,实现了认证过滤器的处理逻辑。我们来看看它的核心方法doFilter
的实现:
1 | public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) |
大部分逻辑这里是清晰的,关键在于attemptAuthentication
方法,这个我们已经在上一文分析了是通过AuthenticationManager
的authenticate
方法进行认证逻辑的处理,接下来我们将重点分析这个接口来帮助我们了解Spring Seucirty的认证过程。
3. AuthenticationManager
AuthenticationManager
这个接口方法非常奇特,入参和返回值的类型都是Authentication
。该接口的作用是对用户的未授信凭据进行认证,认证通过则返回授信状态的凭据,否则将抛出认证异常AuthenticationException
。
3.1 AuthenticationManager的初始化流程
那么AbstractAuthenticationProcessingFilter
中的 AuthenticationManager
是在哪里配置的呢?看过之前文章的应该知道WebSecurityConfigurerAdapter
中的void configure(AuthenticationManagerBuilder auth)
是配置AuthenticationManager
的地方,我根据源码总结了一下AuthenticationManager
的初始化流程,相信可以帮助你去阅读相关的源码:
需要注意的是如果我们使用自定义配置一定不能按照类似下面的错误示范:
1 |
|
3.2 AuthenticationManager的认证过程
AuthenticationManager
的实现ProviderManager
管理了众多的AuthenticationProvider
。每一个AuthenticationProvider
都只支持特定类型的Authentication
,然后是对适配到的Authentication
进行认证,只要有一个AuthenticationProvider
认证成功,那么就认为认证成功,所有的都没有通过才认为是认证失败。认证成功后的Authentication
就变成授信凭据,并触发认证成功的事件。认证失败的就抛出异常触发认证失败的事件。
从这里我们可以看出认证管理器AuthenticationManager
针对特定的Authentication
提供了特定的认证功能,我们可以借此来实现多种认证并存。
4. 总结
通过本文我们对Spring Security认证管理器AuthenticationManager
的初始化过程和认证过程进行了分析,如果你熟悉了AuthenticationManager
的逻辑可以实现多种认证方式的并存等能力,实现很多有用的逻辑,这对集成Spring Security到项目中非常重要。
转载自@felord.cn