Spring Security-认证

      认证的过程涉及到认证方法,认证需要提供的凭证信息,和认证的后的票据

      AuthenticationManager是认证的入口,这个接口只有一个方法
Authentication authenticate(Authentication authentication)。

 

凭证信息:
      凭证信息包括用户名,密码,证书或其他信息。观察AuthenticationManager接口,authenticate方法接收一个Authentication类型的参数,
Authentication有一个方法getCredentials(),返回Object,这就是凭证信息。Authentication对象是存放凭证信息的地方。

 

如何认证:
      Spring Security没有规定认证方法,认证启动后会调用AuthenticationManager.authenticate方法,实现认证。Spring Security提供了一个缺省的实现ProviderManager,管理一个AuthenticationProvider的列表。真正认证的功能代理给AuthenticationProvider完成,每个AuthenticationProvider提供了真正的认证逻辑。缺省的实现中只要有一个AuthenticationProvider证成功,ProviderManager就认为认证成功,并返回票据。Spring Security提供了一些默认的AuthenticationProvider的实现,如DaoAuthenticationProvider,LdapAuthenticationProvider等,分别对应不同的认证方法。

 

认证后的票据:
      票据是一个用户身份标识,系统根据用户的票据为用户授权。AuthenticationManager的authenticate返回一个Authentication作为票据,包含了认证过的Principal和权限(GrantedAuthority)信息。实际上Authentication自身就是一个Principal(实现了java.security.Principal接口)。

你可能感兴趣的:(Spring,Security)