Spring-security-oauth2 与 Spring-security

spring security 认证流程：

1. 当登录时，请求会被UsernamePasswordAuthenticationFilter 拦截， 获取用户名和密码，封装成UsernamePasswordAuthenticationToken，并交给AuthenticationManager（认证核心接口）去认证；

2. ProviderManager 是AuthenticationManager接口的实现类，也就是验证UsernamePasswordAuthenticationToken时交给它来处理。

3. ProviderManager 的authenticate(authentication) 方法，是验证UsernamePasswordAuthenticationToken的核心方法；从源码可以得知：ProviderManager  有 一个属性为：List providers; 从名称就可以看出，是一个认证器的集合；所以authenticate(authentication)方法的主要逻辑就是遍历providers， support（UsernamePasswordAuthenticationToken）的AuthenticationProvider 会去做相应的认证；

AuthenticationProvider 认证用户三步走原则：

（1）获取用户信息

（2）检查用户“是否被禁用”，“是否被锁定”，“是否过期”

（3）校验用户名和密码

4. 通过验证返回Authentication

5. 通过验证返回Authentication

6. 通过验证返回Authentication到 AbstractAuthenticationProcessingFilter

7. successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) 发布登录成功；

主要逻辑为：

（1）Authentication保存到SecurityContext中； 源码：SecurityContextHolder.getContext().setAuthentication(authResult);

（2）如果配合记住密码，则会记住密码；    源码:this.rememberMeServices.loginSuccess(request, response, authResult);

 (3)  请求之前未登录状态下请求的网址；    源码：this.successHandler.onAuthenticationSuccess(request, response, authResult)

说明：SecurityContextHolder.getContext().setAuthentication(authResult），底层源码是使用new ThreadLocal() 存储的，如果不了解 ThreadLocal，请自行查阅；

spring security 权限校验流程：

1. 第一次请求http://localhost:8088/persons方法时，UsernamePasswordAuthenticationFilter  不会拦截，因为UsernamePasswordAuthenticationFilter  只会拦截/login 且为POST,  但是会被AnonymousAuthenticationFilter拦截，主要做的就是SecurityContextHolder.getContext().setAuthentication(AnonymousAuthenticationToken），具体请看源码；然后会进入到FilterSecurityInterceptor过滤器；FilterSecurityInterceptor 过滤器才是真正控制访问权限的Filter；

2. super.beforeInvocation(fi) 主要逻辑：

1）Authentication authenticated =this.authenticateIfRequired();   获取token，从SecurityContextHolder.getContext()  获得

2）this.accessDecisionManager.decide(authenticated, object,attributes); ******这个才是重中之重*****作用就是判断是否有访问权限；

 3. this.accessDecisionManager.decide(authenticated, object,attributes);会抛出AccessDeniedException |AuthenticationException异常，并被ExceptionTranslationFilter拦截,

如果为AccessDeniedException ，跳转到未授权页面

如果为AuthenticationException，跳转登录页面

4. 由于未登录跳转到登录页

5. 填写用户名和密码再次请求，会走上面的认证流程；  认证流程走完，最终还是会走到FilterSecurityInterceptor  拦截器；然后还是会从  2） 流程开始走，不同的是这回已经登录，所以Authentication authenticated =this.authenticateIfRequired();获取到的是包含用户数据，以及权限的信息；然后还是会走this.accessDecisionManager.decide(authenticated, object,attributes); 不抛出异常则到 第6步骤， 否则还是会从3 步骤开始

 6. 访问到/persons 接口，进入到Controller 中；

以上流程图源自：

http://www.spring4all.com/article/439

http://www.spring4all.com/article/458

关键的类和接口介绍：

AbstractAuthenticationProcessingFilter 类：在不同maven包下的展现形式：

spring-boot-starter-security包下:

spring-boot-starter-security

spring-security-oauth2包下：

spring-security-oauth2

可以看出多了一个OAuth2ClientAuthenticationProcessingFilter和ClientCredentialsTokenEndpointFilter；

当使用Oauth2认证时，主要走的两个Filter；

AuthenticationManager 接口：认证时主要是PrividerManager 实现类去做认证；

PrividerManager 实现类中主要的方法和属性介绍：

认证器集合：providers

authenticate 方法：

1. 遍历认证器.

2.判断认证器是否支持token的认证

3.如果支持，进行具体的认证逻辑

AuthenticationProvider 接口：

AbstractUserDetailsAuthenticationProvider 抽象类：

authenticate 方法：

子类实现retrieveUser 方法，通过不同的方式获取UserDetails；

DaoAuthenticationProvider 实现类（去实现retrieveUser ）：

retrieveUser方法：

DaoAuthenticationProvider  方法

通过UserDetailsService 对象获取UserDetails对象；

UserDetailsService  属性：

DaoAuthenticationProvider  属性

UserDetailsService 接口：

spring-boot-starter-security包下:

spring-boot-starter-security

spring-security-oauth2包下：

spring-security-oauth2

可以看出在spring-security-oauth2包下多一个ClientDetailsUserDetailsService类，这个也就是spring security实现Oauth2的主要认证类；