Spring Security（3）：数

核心处理流程

1：当一个用户登录时，会先执行身份认证。

2：如果身份认证未通过，则会要求用户重新认证。

3：如果身份认证通过，则会调用角色管理器判断它是否可以访问。

这里如果我们需要使用数据库中数据进行身份认证，则需要自定义用户登录功能。spring Security为我们提供的UsrtDetailsService接口。

package org.springframework.security.core.userdetails;

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

UserDetails.java

package org.springframework.security.core.userdetails;

import java.io.Serializable;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();    // 权限集合

    String getPassword();           // 密码

    String getUsername();            // 用户名

    boolean isAccountNonExpired();    // 账号是否没有过期
    
    boolean isAccountNonLocked();    // 账户是否没有被锁定

    boolean isCredentialsNonExpired();     // 证书是否没有过期

    boolean isEnabled();            // 账户是否有效
}

UserDetails中的任何一个方法返回false，用户的凭证都会视为无效。

Authentication

package org.springframework.security.core;

import java.io.Serializable;
import java.security.Principal;
import java.util.Collection;

public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();    // 权限集合

    Object getCredentials();        // 获取凭证
    
    Object getDetails();            // 获取认证一些额外信息

    Object getPrincipal();            // 过去认证的实体

    boolean isAuthenticated();        // 是否通过认证

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

实际上Spring Security进行安全访问控制用户信息的对象是Authentication。

Authentication有已认证和未认证两种状态，在作为参数传入认证管理器的时候，它是一个未认证的对象，它从客户端获取用户名/密码，并由系统自动构成一个Authentication对象；而UserDetails代表的是一个用户安全信息的源，这个源可以是从数据库获取，Spring Security要做的就是将这个为认证的Authentication对象和UserDetails进行匹配，成功后将UserDetails中的用户权限信息拷贝到Authentication只，组成一个完整的Authentication对象，与其它组件进行共享。