1、SpringSecurity原理

Spring Security是做安全访问控制，对所有进入系统的请求进行拦截，并做校验，这可以通过Filter或者AOP实现，Spring Security靠Filter。

• 初始化Spring Security时，创建一个名为SpringSecurityFilterChain的Servlet过滤器，类型为org.springframework.security.web.FilterChainProxy，它实现了javax.servlet.Filter，因此外部的请求会经过此类
• FilterChainProxy是一个代理，真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter，同时这些Filter作为Bean被Spring管理
• 这些Filter不负责认证或者授权，而是交给认证管理器（AuthenticationManager）和决策管理器（AccessDecisionManager）进行处理。（过滤器嘛，就是拦截下，获取点东西、修改点东西、干点操作）

Spring Security功能的实现就是一系列过滤器链相互配合。

• SecurityContextPersistenceFilter 这个Filter是整个拦截过程的入口和出口，也就是第一个和最后一个拦截器。会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext，然后把它设置给 SecurityContextHolder。在请求完成后将 SecurityContextHolder 持有的 SecurityContext 再保存到配置好的 SecurityContextRepository，同时清除 securityContextHolder 所持有的 SecurityContext；

• UsernamePasswordAuthenticationFilter 用于处理来自表单提交的认证，该表单必须提供对应的用户名和密码，其内部还有登录成功或失败后进行处理的 AuthenticationSuccessHandler 和 AuthenticationFailureHandler，这些都可以根据需求做相关改变；（这些处理器的逻辑可自定义，重新实现一下这个处理器）

• ExceptionTranslationFilter 能够捕获来自 FilterChain 所有的异常，并进行处理。但是它只会处理两类异常：AuthenticationException 和 AccessDeniedException，其它的异常它会继续抛出。

• FilterSecurityInterceptor 是用于保护web资源的，使用AccessDecisionManager对当前用户进行授权访问

SpringSecurity的执行流程：

• 用户提交用户名密码，被安全过滤器链中的UsernamePasswordAuthenticationFilter过滤器拿到，并封装为请求Authentication，通常情况下是UsernamePasswordAuthenticationToken这个实现类
• 然后过滤器将Authentication提交至认证管理器（AuthenticationManager）进行认证
• 认证成功后，AuthenticationManager身份管理器返回一个被填充满了信息的（包括上面提到的权限信息，身份信息，细节信息，但密码通常会被移除）Authentication实例
• SecurityContextHolder安全上下文容器将上一步填充了信息的Authentication，通过SecurityContextHolder.getContext().setAuthentication(…)方法，设置到其中
• 以看出AuthenticationManager接口（认证管理器）是认证相关的核心接口，也是发起认证的出发点，它的实现类为ProviderManager
• 而Spring Security支持多种认证方式，因此ProviderManager维护着一个List列表，存放多种认证方式，最终实际的认证工作是由AuthenticationProvider完成的。而web表单的对应的AuthenticationProvider实现类为DaoAuthenticationProvider，它的内部又维护着一个UserDetailsService负责UserDetails的获取。当UserDetailsService接口的loadUserByUsername()方法获取到的User Details对象中的密码和Authentication中的密码一致时，认证成功，最后AuthenticationProvider将UserDetails填充至Authentication

2、UserDetails接口

看完上面的UserDetails对象和UserDetailsService接口的loadUserByUsername方法后，再看之前在内存中定义用户，是这样的：

UserDetails user2 = User.builder().username("liu").password(passwordEncoder().encode("123456")).authorities("teacher:add","teacher:update").roles("teacher").build();

查看User类的源码，其实现了UserDetails接口，因此上面才可以直接创建User对象。

接下来自己定义一个用户类SecurityUser类，也去实现UserDetails接口，重写UserDetails接口方法时，直接写死一个用户信息，一会儿new这个自定义的SecurityUser类，也就和上面的User.builder一个意思。

public class SecurityUser implements UserDetails {@Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {return null;   //未给权限}@Overridepublic String getPassword() {//明文为123456//return "$2a$10$KyXAnVcsrLaHMWpd3e2xhe6JmzBi.3AgMhteFq8t8kjxmwL8olEDq";return new BCryptPasswordEncoder().encode("123456");}@Overridepublic String getUsername() {return "liu";}@Overridepublic boolean isAccountNonExpired() {return true;}@Overridepublic boolean isAccountNonLocked() {return true;}@Overridepublic boolean isCredentialsNonExpired() {return true;}@Overridepublic boolean isEnabled() {return true;}
}

UserDetails 接口的7个方法如下图：

方法名	作用
getAuthorities()	获取当前用户对象所具有的角色信息
getPassword()	获取当前用户对象的密码
getUsername()	获取当前用户对象的用户名
isAccountNonExpired()	当前账户是否未过期
isAccountNonLocked()	当前账户是否未锁定
isCredentialsNonExpired()	当前账户密码是否未过期
isEnabled()	当前账户是否可用

3、UserDetailService接口

UserDetails的用户对象建好了，继续看之前在内存中创建用户的实现思路：

InMemoryUserDetailsManager userDetailsManager = new InMemoryUserDetailsManager();
userDetailsManager.createUser(user1);
userDetailsManager.createUser(user2);

InMemoryUserDetailsManager类实现了UserDetailsManager接口，UserDetailsManager接口又继承了UserDetailService接口：

自己新建一个类UserServiceImpl去实现UserDetailService接口。重写loadUserByUsernam方法，并当用户名等于自定义的SecurityUser对象中的用户名时，返回SecurityUser对象。

@Service
public class UserServiceImpl implements UserDetailsService {@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {SecurityUser securityUser= new SecurityUser();if(username==null || !username.equals(securityUser.getUsername())){throw new UsernameNotFoundException("该用户不存在");}return securityUser;}
}

以上其实是自己玩了下5.6两步：

重启服务，登录下，一切正常。

4、权限配置

上面自定义的SecurityUser类中，关于权限的方法返回null，写个接口返回认证信息，可以看到权限字段确实为null：

加权：

    @Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {GrantedAuthority g1=()->"student:query"; //使用lambda表达式//GrantedAuthority g1=new SimpleGrantedAuthority("student:query");List<GrantedAuthority> grantedAuthorityList=new ArrayList<>();grantedAuthorityList.add(g1);return grantedAuthorityList;}

顺便使用@PreAuthorize注解方便后面看下效果：

@RestController
@RequestMapping("/student")
public class StudentController {@GetMapping("/query")@PreAuthorize("hasAuthority('student:query')")public String queryInfo(HttpServletRequest request){return "I am a student,My name is XXX";}
}

重启后查看认证信息：

梳理完UserDetails和UserDetailsService接口之间的流程和细节，方便后面理解SpringSecurity基于数据库认证。