SpringSecurity框架个人理解

首先springsecurity框架主要是用于安全，权限这一块的。是集成在spring框架中的。

本文可能都是文字，读起来比较枯燥，而且没见过的词和概念会比较多，可能会难理解。但是这肯定比网上其他的文章来的直接，最直接的理论干货（程度在我的理解上）。

springsecurity的使用方法

1. 不用数据库，全部数据写在配置文件，这个也是官方文档里面的demo
2. 使用数据库，根据spring security默认实现代码设计数据库，也就是说数据库已经固定了，这种方法不灵活，而且那个数据库设计得很简陋，实用性差
3. spring security和Acegi不同，它不能修改默认filter了，但支持插入filter，所以根据这个，我们可以插入自己的filter来灵活使用
4. 暴力手段，修改源码，前面说的修改默认filter只是修改配置文件以替换filter而已，这种是直接改了里面的源码，但是这种不符合OO设计原则，而且不实际，不可用 

springsecurity流程 

大概流程

用户登录，会被AuthenticationProcessingFilter拦截，调用AuthenticationManager的实现，而且AuthenticationManager会调用ProviderManager来获取用户验证信息（不同的Provider调用的服务不同，因为这些信息可以是在数据库上，可以是在LDAP服务器上，可以是xml配置文件上等），如果验证通过后会将用户的权限信息封装一个User放到spring的全局缓存SecurityContextHolder中，以备后面访问资源时使用。

详细步骤

1. 登录，用户名和密码被过滤器获取到（会被AuthenticationProcessingFilter拦截），封装成Authentication（认证），通常情况下是UsernamePasswordAuthenticationToken这个实现类
2. AuthenticationManager 身份管理器负责验证这个Authentication

• AuthenticationManager（接口）是认证相关的核心接口，也是发起认证的出发点，因为在实际需求中，我们可能会允许用户使用用户名+密码登录，同时允许用户使用邮箱+密码，手机号码+密码登录，甚至，可能允许用户使用指纹登录
•  所以说AuthenticationManager一般不直接认证，他会交给ProviderManager 验证
•  AuthenticationManager接口的常用实现类ProviderManager 内部会维护一个List<AuthenticationProvider>列表，存放多种认证方式
• ProviderManager 中的List，会依照次序去认证，认证成功则立即返回，若认证失败则返回null，下一个AuthenticationProvider会继续尝试认证，如果所有认证器都无法认证成功，则ProviderManager 会抛出一个ProviderNotFoundException异常

            也就是说，核心的认证入口始终只有一个：AuthenticationManager
            不同的认证方式：用户名+密码（UsernamePasswordAuthenticationToken），邮箱+密码，手机号码+密码登录则对应了三个AuthenticationProvider

• AuthenticationProvider最最最常用的一个实现便是DaoAuthenticationProvider

            按照我们最直观的思路，怎么去认证一个用户呢？用户前台提交了用户名和密码，而数据库中保存了用户名和密码，认证便是负责比对同一个用户名，提交的密码和保存的                     密码是否相同便是了

            1.提交的用户名和密码，被封装成了UsernamePasswordAuthenticationToken，而根据用户名加载用户的任务则是交给了UserDetailsService，它会返回一个UserDetails

            2.还需要完成UsernamePasswordAuthenticationToken和UserDetails密码的比对，这便是交给additionalAuthenticationChecks方法完成的，如果这个void方法没有抛异常，则认为比对成功

            3.UserDetailsService只负责从特定的地方（通常是数据库）加载用户信息，仅此而已，记住这一点，可以避免走很多弯路

       

     3.认证成功后，AuthenticationManager身份管理器返回一个被填充满了信息的（包括上面提到的权限信息，身份信息，细节信息，但密码通常会被移除）Authentication实例

 

一些没提到的细节

SecurityContextHolder安全上下文容器将第3步填充了信息的Authentication，通过SecurityContextHolder.getContext().setAuthentication(…)方法，设置到其中

SecurityContextHolder用于存储安全上下文（security context）的信息。当前操作的用户是谁，该用户是否已经被认证，他拥有哪些角色权限…这些都被保存在SecurityContextHolder中

 

参考文章：spring security的原理及教程-http://www.importnew.com/20612.html

                Spring Security ( 一 ) ：架构概述-http://www.importnew.com/26712.html

转载于:https://my.oschina.net/u/3343536/blog/1859585