关于
- spring security 官网链接, 本次示例使用的版本为5.6.3:https://docs.spring.io/spring-security/reference/index.html
- 什么是认证:通俗点点理解来理解就是登录。随着互联网的发展,登录的方式也变得五花八门。较为常见的有账号密码登录,手机号验证码登录,三方登录等多种形式。
1. SpringSecurity中谁负责认证呢? AuthenticationProvider
事实上,上面的问题是不固定。用户可以通过很多组件来实现用户的认证。如通过Filter (Interceptor也类似)通过获取请求中传递的认证参数来做认证,或通过Controller中的接口来直接认证。
AuthenticationProvider 实际上是一个接口,具体实现要用户根据自身的需求来进行定制。
通过查看源代码很容易了解对应方法的逻辑。 一个是负责认证的业务逻辑。一个是决定当前 Provider是否可以对用户传递的认证主体进行认证。
package org.springframework.security.authentication;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
public interface AuthenticationProvider {
/**
* authentication: 认证的主体,开发者需要将需要认证的数据封装其中
* @return 认证通过后,将真实的用户信息进行封装返回
**/
Authentication authenticate(Authentication authentication) throws AuthenticationException;
/*
* 判断当前的authentication类型 本AuthenticationProvider是否可以处理
* */
boolean supports(