spring security原理归纳整理

AccessDecisionManager

SecurityContext

SecurityContextHolder

1：n

UsernamePasswordAuthenticationFilter

Authentication的封装

AnonymousAuthenticationFilter

Authentication(已认证)

Authentication(未认证)

FilterSecurityInterceptor

UserDetails

这是一个匿名过滤器，当请求中没有经过身份认证，进入这个过滤器它就会new一个匿名的authentication(赋一个字符串的值给principal)。

AuthenticationProvider

用户认证的信息

系统配置中配置的规则

AccessDecisionVoter

保存Authentication

AuthenticationManager

服务请求

负责校验用户信息

REST API

AbstractAccessDecisionManager

UsernamePasswordAuthenticationFilterBasicAuthenticationFilterRememberMeAuthenticationFilterSocialAuthenticationFilterOauth2AuthenticationProcessingFilterOauth2ClientAuthenticationProcessingFilter...

SecurityConfig

ConfigAttribute

ThreadLocal的封装

请求信息

UserDetailsService

SecurityContextPersistenceFilter

Authentication

1.请求时查看session是否有authentication的信息，如果有就放入当前线程中。2.返回时查看当前线程是否有authentication的信息，如果有就放入session中

请求

响应

WebExpressionVoter

ExceptionTranslationFilter

身份认证

过滤请求是否满足访问api的条件，如果没有就抛出异常交给ExceptionTranslationFilter处理。

登陆请求

投票者

spring security 过滤器链