首先我们先要了解到整个的安全认证体系是由一条过滤链来完成的。如下图:
下面我们来看下整个登录流程。我们采用用户名密码的登录方式:
先进入UsernamePasswordAuthenticationFilter先获取用户名和密码。然后构造一个UsernamePasswordAuthenticationToken
注意这个类,它是实现了Authentication接口,这个接口非常重要!我们可以看下图最后一行开始认证。
我们进入这个方法进入ProviderManager类的
一步步往下走我们将看到进入AbstractUserDetailsAuthenticationProvider用户名密码认证authenticate开始正式认证。我们上面的循环其实是在找认证方式。下面标红框的方法就是获取从数据库中查出来的用户信息,它是一个UserDetails对象,它是我们在loadUserByUsername方法中查到的,这一块不熟悉的朋友可以去查查相关博客。
。接下来就是进行校验。
下面我们是我们找到了校验类,下面这个方法十分重要。
他就是负责我们用户传进来的密码和数据库查出来的密码进行核对。我们点进去看看。
这句话就是检测是否相等。至此登录流程走完。
我们总结一下整个校验过程。
一、首先我们通过UserDetailsService重写的loadUserByUsername来从数据库获取User对象。
二、我们通过过滤链来找到认证类型为用户密码认证,来进行比对。