Spring Security账号密码认证源码解析(1)

public interface AuthenticationManager {

Authentication authenticate(Authentication var1) throws AuthenticationException;

}

(3)该接口的主要实现类为ProviderManager，调用的就是该类的authenticate方法。该类有二个用于认证的成员变量：

private List providers;

private AuthenticationManager parent;

AuthenticationProvider是一个接口，是用来提供认证服务的，ProviderManager只是用来管理认证服务的。

// 该接口有两个方法，该接口的实现类主要做认证的。

public interface AuthenticationProvider {

Authentication authenticate(Authentication var1) throws AuthenticationException;

// supports是用来检测该类型的认证信息是否可以被自己处理。可以被处理则调用自身的authenticate方法。

boolean supports(Class<?> var1);

}

（4）ProviderManager的authenticate()方法源码关键部分如下：

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

Class toTest = authentication.getClass();

Object lastException = null;

Authentication result = null;

boolean debug = logger.isDebugEnabled();

// 拿到全部的provider

Iterator e = this.getProviders().iterator();

// 遍历provider

while(e.hasNext()) {

AuthenticationProvider provider = (AuthenticationProvider)e.next();

// 挨着个的校验是否支持当前token

if(provider.supports(toTest)) {

if(debug) {

logger.debug("Authentication attempt using " + provider.getClass().getName());

}

try {

// 找到后直接break，并由当前provider来进行校验工作

result = provider.authenticate(authentication);

if(result != null) {

this.copyDetails(authentication, result);

break;

}

} catch (AccountStatusException var11) {

this.prepareException(var11, authentication);

throw var11;

} catch (InternalAuthenticationServiceException var12) {

this.prepareException(var12, authentication);

throw var12;

} catch (AuthenticationException var13) {

lastException = var13;

}

}

}

// 若没有一个支持，则尝试交给父类来执行

if(result == null && this.parent != null) {

try {

result = this.parent.authenticate(authentication);

} catch (ProviderNotFoundException var9) {

;

} catch (AuthenticationException var10) {

lastException = var10;

}

}

…

}

其中会遍历调用AuthenticationProvider实现类对象的supports方法，如果方法返回true，则调用AuthenticationProvider实现类对象的authenticate()方法，该方法是用来进行认证的。

如果该ProviderManager的List providers都无法处理，则会调用该ProviderManager的AuthenticationManager parent的authenticate方法，流程一样。

4.AuthenticationManager对象的authenticate方法中调用AuthenticationProvider接口实现类DaoAuthenticationProvider的authenticate方法

---

**（1） DaoAuthenticationProvider **

对于我们前面封装的UsernamePasswordAuthenticationToken 对象，它的认证处理可以被DaoAuthenticationProvider类进行认证。

DaoAuthenticationProvider类中其实没有定义authenticate方法，它是继承了父类AbstractUserDetailsAuthenticationProvider中的authenticate方法。

AbstractUserDetailsAuthenticationProvider的authenticate()方法源码如下：

// 实现了AuthenticationProvider接口

public abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, this.messages.getMessage(“AbstractUserDetailsAuthenticationProvider.onlySupports”, “Only UsernamePasswordAuthenticationToken is supported”));

String username = authentication.getPrincipal() == null?“NONE_PROVIDED”:authentication.getName();

boolean cacheWasUsed = true;

UserDetails user = this.userCache.getUserFromCache(username);

if(user == null) {

cacheWasUsed = false;

try {

// 调用自类retrieveUser

user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

} catch (UsernameNotFoundException var6) {

this.logger.debug(“User '” + username + “’ not found”);

if(this.hideUserNotFoundExceptions) {

throw new BadCredentialsException(this.messages.getMessage(“AbstractUserDetailsAuthenticationProvider.badCredentials”, “Bad credentials”));

}

throw var6;

}

Assert.notNull(user, “retrieveUser returned null - a violation of the interface contract”);

}

try {

/*

• 前检查由DefaultPreAuthenticationChecks类实现（主要判断当前用户是否锁定，过期，冻结

• User接口）

*/

this.preAuthenticationChecks.check(user);

// 子类具体实现

this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);

} catch (AuthenticationException var7) {

if(!cacheWasUsed) {

throw var7;

}

cacheWasUsed = false;

user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

this.preAuthenticationChecks.check(user);

this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);

}

// 检测用户密码是否过期

this.postAuthenticationChecks.check(user);

if(!cacheWasUsed) {

this.userCache.putUserInCache(user);

}

Object principalToReturn = user;

if(this.forcePrincipalAsString) {

principalToReturn = user.getUsername();

}

return this.createSuccessAuthentication(principalToReturn, authentication, user);

}

}

（2）在该方法中，调用了自身的retrieveUser方法，该方法在DaoAuthenticationProvider中，源码如下：

该方法首先调用UserDetailsService接口中的loadUserByUsername方法获得数据库或者内存等地方保存的用户信息，所以可以通过实现该接口，可以自定义设置用户信息的来源。

然后将获得到的密码和请求的密码进行比对，如果相同，则方法获取到的用户信息。接着做一些安全检查之类的:

this.preAuthenticationChecks.check(user);

// 子类具体实现

this.additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken)authentication);

this.postAuthenticationChecks.check(user);

最后该方法返回

return createSuccessAuthentication(principalToReturn, authentication, user);

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

总结

大型分布式系统犹如一个生命，系统中各个服务犹如骨骼，其中的数据犹如血液，而Kafka犹如经络，串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享，把Kafka的实现脉络展示在读者面前，帮助读者更好地研读Kafka代码。

麻烦帮忙转发一下这篇文章+关注我

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！
2d36.jpg" alt=“img” style=“zoom: 33%;” />

总结

大型分布式系统犹如一个生命，系统中各个服务犹如骨骼，其中的数据犹如血液，而Kafka犹如经络，串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享，把Kafka的实现脉络展示在读者面前，帮助读者更好地研读Kafka代码。

麻烦帮忙转发一下这篇文章+关注我

[外链图片转存中…(img-4LeiBfbH-1713396711905)]

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！