自定义SpringSecurity认证方式

就理论而言，理论和实践并无差异，但真付诸实行，差异即开始显现。

Jan L.A van de Snepscheut

我们在软件开发过程中，需要针对不同的软件产品需求，提供不同的身份认证方式，纵使SpringSecurity非常强大，她所提供的身份认证方式也不足以面对各式各样的身份认证方式，所以学习如何扩展SpringSecurity的认证方式也就非常有必要了。

注意！这不是一篇对于SpringSecurity毫无了解的读者准备的，所以在阅读这篇文章之前你需要了解对SpringSecurity有一些基础的了解。

“ Spring Security的认证流程

在我们自定义SpringSecurity的认证方式之前，先从SpringSecurity的用户名/密码认证中了解SpringSecurity的认证流程，以及参与到这个流程的类它们各自的职责是什么。

用户名/密码认证流程（SecurityFilterChain中每一个橙色矩形条代表一个SecurityFilter，因为这里主要讲解用户名/密码认证，故突出显示UsernamePasswordAuthenticationFilter）

当用户提交他们的用户名和密码时，这个UsernamePasswordAuthenticationFilter会从HttpServletRequest提取用户名和密码，然后使用提取出的用户名和密码创建UsernamePasswordAuthenticationToken。

接下来该UsernamePasswordAuthenticationToken会作为AuthenticationManager.authentication（通常是调用AuthenticationManager的一个实现类ProviderManager重写的authentication方法）方法的参数传入。

ProviderManager从它所拥有的AuthenticationProvider的列表中找到一个支持认证UsernamePasswordAuthenticationToken的一个AuthenticationProvider（在这里是如右图的DaoAuthenticationProvider）。

DaoAuthenticationProvider会通过UserDetailsService类使用UsernamePasswordAuthenticationToken中username去查询用户，然后对该用户进行身份认证。

如果认证失败：

SecurityContextHolder被清空。

RememberMeServices.loginFail会被调用，如果rememberme没有被配置，将不会有任何操作。

AuthenticationFailureHandler被调用。

如果认证成功：

SessionAuthenticationStrategy会收到一个登录通知。

这个Authencation会被放置到SecurityContextHolder中，RememberMeServices.loginSuccess将被调用。

如果没有设置rememberme，将不会有任何操作。

ApplicationEventPublisher发布一个InteractiveAuthenticationSuccessEvent。

从上述的用户名/密码认证的流程中，我们可以得出如下图所示的一个通用流程。

抽象认证流程

当用户提交他们的凭证的时候，AbstractAuthenticationProcessingFilter会从HttpServletRequest提取相关的数据创建一个Authentication去认证。这个被创建的Authentication的类型取决于AbstractAuthenticationProcessingFilter的子类（例如，UsernamePasswordAuthenticationFilter就是从被提交的HttpServletRequest中提取出用户名和密码，然后创建了UsernamePasswordAuthenticationToken）。

接下来，这个Authentication被传入AuthenticationManager去认证,然后AuthenticationManager的实现类ProviderManager会将认证委派给支持认证该Authentication的AuthenticationProvider。

如果认证失败:

SecurityContextHolder被清空。

RememberMeServices.loginFail会被调用，如果rememberme没有被配置，将不会有任何操作。

AuthenticationFailureHandler被调用。

如果认证成功：

SessionAuthenticationStrategy会收到一个登录通知。

这个Authencation会被放置到SecurityContextHolder中。

RememberMeServices.loginSuccess将被调用，如果没有设置rememberme，将不会有任何操作。

ApplicationEventPublisher发布一个InteractiveAuthenticationSuccessEvent。

“ 自定义身份认证

在阐述完整个认证架构后，其实不难发现，在自定义认证的时候，你需要做如下准备：

CustomAuthenticationToken

CustomFilter

 CustomAuthenticationProvider

你需要自定义一个 AuthenticationProvider 的实现类和一个 Authentication 的实现类，还有一个继承了AbstractAuthenticationProcessingFilter的过滤器。

对于AuthenticationProvider 的实现类 CustomAuthenticationProvider，需要在authenticate方法中编写你自己的认证算法，并且通过实现supports方法告知调用者自己所支持认证的Authentication类型（在这里支持认证的就是CustomAuthenticationToken类型）。

CustomAuthenticationToken是一个继承了UsernamePasswordAuthenticationToken的子类（UsernamePasswordAuthenticationToken是一个间接继承了Authentication的类，它默认实现了Authentication的所有接口，大多数情况下，你只需要继承它就可以了， 当然你也可以直接继承Authentication），你可以从图中看到它有两个构造函数，这两个构造函数的使用时机是不同的，第一个构造函数是通常由CustomFilter调用，然后将创建的CustomAuthenticationToken传递给AuthenticationManager进行认证（最终会由ProviderManager委托CustomAuthenticationProvider认证），如果认证成功，CustomAuthenticationProvider会调用第二个构造函数生成一个已认证的CustomAuthenticationToken。

对于CustomFilter，它主要要做两件事，第一，在默认构造函数中通过调用父类的setFilterProcessesUrl方法去配置需要拦截的url。第二，它需要在attemptAuthentication中，把认证相关的数据提取从HttpServletRequest中提取出来，然后调用CustomAuthenticationToken的第一个构造函数创建CustomAuthenticationToken，并将他传递给AuthenticationManager去认证。

最后，在完成了上述相关类的实现了之后，接下来我们只需要将它们按照下图的代码配置进Spring Security即可。

SpringSecurity配置

接下来，这里有几个小测验，可以帮助你了解你的掌握情况：

你自定义的AuthenticationProvider需要实现哪两个方法，这两个方法的用途是什么？

你自定义的AuthenticationProvider如何配置到SpringSecurity中？

你自定义的过滤器应该要继承哪一个类？这个过滤器有哪些职责？你自定义的过滤器如何添加到SpringSecurity的过滤器链中？