一直以來都特別喜歡Spring的全家桶系列，也一直想寫關於Spring Security的系列文章，接觸security從最初的Guide開始入手，到專案中的原始碼閱讀，最近又沉下心來看了幾遍文件，打算嘗試一下，把我的理解都記錄下來，寫一個較為完整的系列文章。

什麼是Spring Security驗證?

讓我們考慮一個大家都很熟悉的標準的驗證場景。
1. 提示使用者輸入使用者名稱和密碼進行登入。
2. 該系統 (成功) 驗證該使用者名稱的密碼正確。
3. 獲取該使用者的環境資訊 (他們的角色列表等).
4. 為使用者建立安全的環境。
5. 使用者進行，可能執行一些操作，這是潛在的保護的訪問控制機制，檢查所需許可權，對當前的安全的環境資訊的操作。

而對於Spring Security來說，假設是使用者名稱密碼登陸，那執行順序就是：
1. 使用者通過url：/login 登入，該過濾器接收表單使用者名稱密碼
2. 判斷使用者名稱密碼是否為空
3. 生成 UsernamePasswordAuthenticationToken
4. 將 Authentiction 傳給 AuthenticationManager介面的 authenticate 方法進行認證處理
5. AuthenticationManager 預設是實現類為 ProviderManager ，ProviderManager 委託給 AuthenticationProvider 進行處理
6. UsernamePasswordAuthenticationFilter 繼承了 AbstractAuthenticationProcessingFilter 抽象類，AbstractAuthenticationProcessingFilter 在 successfulAuthentication 方法中對登入成功進行了處理，通過 SecurityContextHolder.getContext().setAuthentication() 方法將 Authentication 認證資訊物件繫結到 SecurityContext
7. 下次請求時，在過濾器鏈頭的 SecurityContextPersistenceFilter 會從 Session 中取出使用者資訊並生成 Authentication（預設為 UsernamePasswordAuthenticationToken），並通過 SecurityContextHolder.getContext().setAuthentication() 方法將 Authentication 認證資訊物件繫結到 SecurityContext
8. 需要許可權才能訪問的請求會從 SecurityContext 中獲取使用者的許可權進行驗證

下面來逐個分析一下每個類

1.核心元件

這一節主要介紹一些Spring Security中核心的java類，他們之間的依賴，構建起了整個框架。

1.1 SecurityContextHolder

SecurityContextHolder 是最基本的物件，它負責儲存當前安全上下文資訊。即儲存著當前使用者是什麼，是否已經通過認證，擁有哪些許可權。。。等等。SecurityContextHolder預設使用ThreadLocal策略來儲存認證資訊，意味著這是一種與執行緒繫結的策略。在Web場景下的使用Spring Security，在使用者登入時自動繫結認證資訊到當前執行緒，在使用者退出時，自動清除當前執行緒的認證資訊。而在非Web場景下，比如Swing環境下，Spring提供在啟動時使用策略配置SecurityContextHolder。這部分具體的配置請自行翻閱官方文件。我就不在此贅述了，之後的講解也將基於Web場景。

獲取有關當前使用者的資訊
Spring Security使用一個Authentication物件來表示這些資訊。通常不需要自己建立一個Authentication物件，但可以在程式的任何一個地方獲取到使用者資訊，下面時官方提供的獲取使用者資訊：

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
String username = ((UserDetails)principal).getUsername();
} else {
String username = principal.toString();
}

1.2 Authentication

首先看一下原始碼：

package org.springframework.security.core;// <1>

public interface Authentication extends Principal, Serializable { // <1>
    Collection<? extends GrantedAuthority> getAuthorities(); // <2>

    Object getCredentials();// <2>

    Object getDetails();// <2>

    Object getPrincipal();// <2>

    boolean isAuthenticated();// <2>

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

<1> Authentication繼承自來自於java.security包的Principal類,而本身又是spring.security包中的介面。也就是說，Authentication是Spring Security中最高級別的認證。
<2> 從這個介面中，我們可以得到使用者身份資訊，密碼，細節資訊，認證資訊，以及許可權列表，具體的詳細解讀如下：

• getAuthorities，許可權列表,通常是代表權限的字串列表；
• getCredentials，密碼資訊,由使用者輸入的密碼憑證，認證之後會移出，來保證安全性；
• getDetails，細節資訊，Web應用中一般是訪問者的ip地址和sessionId；
• getPrincipal, 最重要的身份資訊，一般返回UserDetails的實現類；

官方文件裡說過，當用戶提交登陸資訊時，會將使用者名稱和密碼進行組合成一個例項UsernamePasswordAuthenticationToken，而這個類是Authentication的一個常用的實現類，用來進行使用者名稱和密碼的認證，類似的還有RememberMeAuthenticationToken，它用於記住我功能。

1.3 UserDetails 和 UserDetailsService

上文提到了UserDetails介面，它代表了最詳細的使用者資訊，這個介面涵蓋了一些必要的使用者資訊欄位，具體的實現類對它進行了擴充套件，首先來看一下原始碼:

public interface UserDetails extends Serializable {

   Collection<? extends GrantedAuthority> getAuthorities();

   String getPassword();

   String getUsername();

   boolean isAccountNonExpired();

   boolean isAccountNonLocked();

   boolean isCredentialsNonExpired();

   boolean isEnabled();
}

它和Authentication介面類似，都包含了使用者名稱，密碼以及許可權資訊，而區別就是Authentication中的getCredentials來源於使用者提交的密碼憑證，而UserDetails中的getPassword取到的則是使用者正確的密碼資訊，認證的第一步就是比較兩者是否相同，除此之外，Authentication中的getAuthorities是認證使用者名稱和密碼成功之後，由UserDetails中的getAuthorities傳遞而來。而Authentication中的getDetails資訊是經過了AuthenticationProvider認證之後填充的。

1.4 UserDetailsService

public interface UserDetailsService {
   UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

UserDetailsService 只有一個方法，就是從特定的地方（一般是從資料庫中）載入使用者資訊，僅此而已。常用的實現類由JdbcDaoImpl和InMemoryUserDetailsManager，前者從資料庫中載入使用者，後者從記憶體中。如果這兩者都滿足不了業務的話，可以自己實現UserDetailsService，這樣也比較靈活。

1.5 AuthenticationManager

public interface AuthenticationManager {
    Authentication authenticate(Authentication authentication)
            throws AuthenticationException;
}

AuthenticationManager介面只包含一個方法，那就是認證，它是認證相關的核心介面，也是發起認證的出發點。實際業務中可能根據不同的資訊進行認證，所以Spring推薦通過實現AuthenticationManager介面來自定義自己的認證方式.Spring提供了一個預設的實現，ProviderManager。

ProviderManager與認證相關的原始碼：

public class ProviderManager implements AuthenticationManager, MessageSourceAware,
        InitializingBean {

    // 維護一個AuthenticationProvider列表
    private List<AuthenticationProvider> providers = Collections.emptyList();

    public Authentication authenticate(Authentication authentication)
          throws AuthenticationException {
       Class<? extends Authentication> toTest = authentication.getClass();
       AuthenticationException lastException = null;
       Authentication result = null;

       // 依次認證
       for (AuthenticationProvider provider : getProviders()) {
          if (!provider.supports(toTest)) {
             continue;
          }
          try {
             result = provider.authenticate(authentication);

             if (result != null) {
                copyDetails(authentication, result);
                break;
             }
          }
          ...
          catch (AuthenticationException e) {
             lastException = e;
          }
       }
       // 如果有Authentication資訊，則直接返回
       if (result != null) {
            if (eraseCredentialsAfterAuthentication
                    && (result instanceof CredentialsContainer)) {
                 //移除密碼
                ((CredentialsContainer) result).eraseCredentials();
            }
            //釋出登入成功事件
            eventPublisher.publishAuthenticationSuccess(result);
            return result;
       }
       ...
       //執行到此，說明沒有認證成功，包裝異常資訊
       if (lastException == null) {
          lastException = new ProviderNotFoundException(messages.getMessage(
                "ProviderManager.providerNotFound",
                new Object[] { toTest.getName() },
                "No AuthenticationProvider found for {0}"));
       }
       prepareException(lastException, authentication);
       throw lastException;
    }
}

其實ProviderManager不是自己處理身份驗證請求，它將委託給配置的AuthenticationProvider列表，按照順序進行依次認證，每個provider都會嘗試認證，或者通過簡單地返回null來跳過驗證。如果所有實現都返回null，那麼ProviderManager將丟擲一個ProviderNotFoundException。

到這裡，如果不糾結於AuthenticationProvider的實現細節以及安全相關的過濾器，認證相關的核心類其實都已經介紹完畢了：身份資訊的存放容器SecurityContextHolder，身份資訊的抽象Authentication，身份認證器AuthenticationManager及其認證流程。姑且在這裡做一個分隔線。下面來介紹下AuthenticationProvider介面的具體實現。

1.6 AuthenticationProvider

public interface AuthenticationProvider {

    Authentication authenticate(Authentication authentication)
            throws AuthenticationException;


    boolean supports(Class<?> authentication);
}

AuthenticationProvider介面提供了兩個方法，一個是真正的認證，另一個是滿足什麼樣的身份資訊才進行如上認證。
Spring 提供了幾種AuthenticationProvider的實現：

• DaoAuthenticationProvider從資料庫中讀取使用者資訊驗證身份
• AnonymousAuthenticationProvider匿名使用者身份認證
• RememberMeAuthenticationProvider已存cookie中的使用者資訊身份認證
• AuthByAdapterProvider使用容器的介面卡驗證身份
• CasAuthenticationProvider根據Yale中心認證服務驗證身份,用於實現單點登陸
• JaasAuthenticationProvider從JASS登陸配置中獲取使用者資訊驗證身份
• RemoteAuthenticationProvider根據遠端服務驗證使用者身份
• RunAsImplAuthenticationProvider對身份已被管理器替換的使用者進行驗證
• X509AuthenticationProvider從X509認證中獲取使用者資訊驗證身份
• TestingAuthenticationProvider單元測試時使用

當然也可以自己實現AuthenticationProvider介面來自定義認證。
這裡我們基於最常用的DaoAuthenticationProvider來詳細解釋一下：

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
    //密碼加解密演算法
    private PasswordEncoder passwordEncoder;
    //使用者資訊dao
    private UserDetailsService userDetailsService;

    //檢查使用者名稱和密碼是否匹配
    protected void additionalAuthenticationChecks(UserDetails userDetails,
            UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            throw new BadCredentialsException(messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.badCredentials",
                    "Bad credentials"));
        }
        //使用者提交的密碼憑證
        String presentedPassword = authentication.getCredentials().toString();
        //比較兩個密碼
        if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
                throw new BadCredentialsException(messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.badCredentials",
                    "Bad credentials"));
        }
    }


    //獲取使用者資訊
    protected final UserDetails retrieveUser(String username,
            UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
    }
}

在Spring Security中。提交的使用者名稱和密碼，被封裝成了UsernamePasswordAuthenticationToken，而根據使用者名稱載入使用者的任務則是交給了UserDetailsService，在DaoAuthenticationProvider中，對應的方法便是retrieveUser，雖然有兩個引數，但是retrieveUser只有第一個引數起主要作用，返回一個UserDetails。還需要完成UsernamePasswordAuthenticationToken和UserDetails密碼的比對，這便是交給additionalAuthenticationChecks方法完成的，如果這個void方法沒有拋異常，則認為比對成功。比對密碼的過程，用到了PasswordEncoder和SaltSource。

1.7 總結

為了方便理解，放上我畫的uml圖。

以及整個認證過程的: