Spring Security-认证

      认证的过程涉及到认证方法，认证需要提供的凭证信息，和认证的后的票据

      AuthenticationManager是认证的入口，这个接口只有一个方法
Authentication authenticate(Authentication authentication)。

 

凭证信息：
      凭证信息包括用户名，密码，证书或其他信息。观察AuthenticationManager接口，authenticate方法接收一个Authentication类型的参数，
Authentication有一个方法getCredentials()，返回Object，这就是凭证信息。Authentication对象是存放凭证信息的地方。

 

如何认证：
      Spring Security没有规定认证方法，认证启动后会调用AuthenticationManager.authenticate方法，实现认证。Spring Security提供了一个缺省的实现ProviderManager，管理一个AuthenticationProvider的列表。真正认证的功能代理给AuthenticationProvider完成，每个AuthenticationProvider提供了真正的认证逻辑。缺省的实现中只要有一个AuthenticationProvider证成功，ProviderManager就认为认证成功，并返回票据。Spring Security提供了一些默认的AuthenticationProvider的实现，如DaoAuthenticationProvider，LdapAuthenticationProvider等，分别对应不同的认证方法。

 

认证后的票据：
      票据是一个用户身份标识，系统根据用户的票据为用户授权。AuthenticationManager的authenticate返回一个Authentication作为票据，包含了认证过的Principal和权限(GrantedAuthority)信息。实际上Authentication自身就是一个Principal（实现了java.security.Principal接口）。