SpringSecurity-4-认证流程源码解析

登录认证基本原理

Spring Security通过过滤链实现登录认证，贯穿请求阶段和响应阶段的核心是SecurityContext和Authentication对象。在请求阶段，过滤器链会逐步验证请求主体，填充Authentication对象。如果认证失败，最后的FilterSecurityInterceptor会抛出认证异常。在响应阶段，认证异常会被ExceptionTranslationFilter处理，成功认证则会将Authentication信息存入session，避免重复认证。

多种登录认证方式

Spring Security提供了多种登录认证模式，其中通过不同过滤器实现，包括：

• BasicAuthenticationFilter：支持HttpBasic登录认证
• UsernamePasswordAuthenticationFilter：实现用户名密码登录
• RememberMeAuthenticationFilter：记住我功能
• SocialAuthenticationFilter：支持第三方社交登录
• Oauth2AuthenticationProcessingFilter：支持Oauth2鉴权方式

认证流程源码分析

在用户名密码认证中，UsernamePasswordAuthenticationFilter负责创建UsernamePasswordAuthenticationToken作为登录凭证，并调用AuthenticationManager进行身份验证。核心方法attemptAuthentication的作用是从请求中提取用户名和密码，构造认证凭证，并通过ProviderManager验证。

ProviderManager的作用

AuthenticationManager是登录认证的核心接口，而ProviderManager是其主要实现类，负责管理多个认证提供者。它通过检查Authentication的类型来选择合适的认证提供者进行验证，从而完成整个认证流程。