目录

• Spring Security极简入门三部曲（中篇）

• 验证流程

• Authentication接口

• 过滤器链

• AuthenticationProvider接口：

• demo时刻

• 代码讲解

• 小结

Spring Security极简入门三部曲（中篇）

大家好，我是白泽。通过上篇的学习，我们实现了一个简单的基于角色验证的小demo，但是不足之处在于用户和角色的信息我们写死在了内存中，而实际项目中必然是写在数据库里的，但是在将数据存入数据库之前，为了让你更深入理解Spring Security授权的验证流程，我需要为你介绍一些关键的接口和类（很遗憾这一部分无法完全避免），如果你只想继续学习Spring Security的使用，直接跳到demo时刻部分吧！

验证流程

Authentication接口

用户在前端输入的登陆信息传入后台后将封装入一个Authentication接口的实现类，它作为认证和授权的对象穿过整个过滤器链，反过来我们也能从Authentication实现类中取出用户账户的相关信息（用户名、密码、获取的权限等） Authentication实现类的获取方法：SecurityContextHolder.getContext().getAuthentication()

public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();//返回一组已经分发的权限（角色）
    Object getCredentials();    //返回凭证，即密码
    Object getDetails();        
    Object getPrincipal();        //返回身份信息，即用户名
    boolean isAuthenticated();
    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

过滤器链

Spring Security框架核心有一个ProviderManager类，点开它的源码，它有一个List

providers属性，这个List集合中就是存放着一个个AuthenticationProvider的实现类（定义了一个个权限验证的规则），这个List集合就组成了过滤器链

AuthenticationProvider接口：

public interface AuthenticationProvider {
    Authentication authenticate(Authentication var1) throws AuthenticationException;
    boolean supports(Class<?> var1);
}

上面提到，ProviderManager实例的providers属性存放了AuthenticationProvider接口的实现类集合，而AuthenticationProvider实现类就是实现权限验证流程的关键，它主要需要实现AuthenticationProvider接口的authenticate()方法，这个方法接收一个Authentication实例，返回一个Authentication实例

结合上面那张ProviderManager的图，你是不是就理解过滤器链是如何工作的了？（一开始就提到了用户登陆之后，将数据封装为一个Authentication实例，并由这个实例通过整个过滤器链进行验证，而此时AuthenticationProvider接口的实现类的authenticate()方法不就实现了接收一个Authentication实例，返回一个Authentication实例吗？一个个AuthenticationProvider实现类组合在一起就得到了链式的验证流程）

demo时刻

需要实现的功能：

1. demo2保留demo1的所有功能，github项目地址
2. 自定义一个验证器加入过滤器链（实现：当用户使用baize账户登陆时，无论密码是什么，都将获取USER和ADMIN权限）

代码讲解

事实上我们只新建了AuthenticationProvider接口的实现类BaiZeAuthenticationProvider，去重写它的两个方法，自定义了一个验证器。并在SecurityConfiguration类中完成注入（相当于自定义过滤器加入过滤器链）

```

@Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { //从authentication实例中获取用户名和密码（这个authentication实例贯穿流程始终） String username = authentication.getName(); String password = authentication.getCredentials().toString(); if (username.equals("baize")) { Collection authorities = new ArrayList<>();