List<Filter> filters;
ChannelProcessingFilter
可能需要重定向到不同的协议<br>
SecurityContextPersistenceFilter<br>
请求时:web请求开头的SecurityContextHolder中设置SecurityContext
结束时:SecurityContext的任何更改都可以复制到HttpSession当web请求
清空SecurityContext
ConcurrentSessionFilter
身份认证
AbstractAuthenticationProcessingFilter
UsernamePasswordAuthenticationFilter
requiresAuthentication()判断 是否以POST 方式请求 /login
attemptAuthentication() 方法进行认证
内部创建了 authenticated 属性为 false(即未授权)的UsernamePasswordAuthenticationToken 对象
AuthenticationManager
递给 AuthenticationManager().authenticate() 方法进行认证
认证成功后 返回一个 authenticated = true (即授权成功的)UsernamePasswordAuthenticationToken 对象
sessionStrategy.onAuthentication() 将 Authentication 放入Session中
结果处理
successfulAuthentication() 调用 AuthenticationSuccessHandler 的 onAuthenticationSuccess 接口 进行成功处理
继承 AuthenticationSuccessHandler 自行编写成功处理逻辑
unsuccessfulAuthentication() 调用AuthenticationFailureHandler 的 onAuthenticationFailure 接口 进行失败处理
通过继承AuthenticationFailureHandler 自行编写失败处理逻辑
BasicAuthenticationFilter
从Header 中获取 Authorization 参数信息
调用认证,认证成功后最后直接访问接口
onSuccessfulAuthentication() 成功处理方法是一个空方法
RememberMeAuthenticationFilter
AnonymousAuthenticationFilter
Security中不存在没有账户这一说法
前面所有filter都认证失败的情况下,自动创建一个默认的匿名用户,拥有匿名访问权限
ExceptionTranslationFilter<br>
捕获AuthenticationException 和AccessDeniedException
调用 handleSpringSecurityException()方法进行处理<br>
FilterSecurityInterceptor
判断认证成功的用户是否有权限访问接口
调用父类(AbstractSecurityInterceptor)的 super.beforeInvocation(fi)
通过 obtainSecurityMetadataSource().getAttributes() 获取 当前访问地址所需权限信息
通过 authenticateIfRequired() 获取当前访问用户的权限信息
通过 accessDecisionManager.decide() 使用 投票机制判权,判权失败直接抛出 AccessDeniedException 异常
