Spring Security认证流程

认证是Spring Security的核心功能之一，Spring Security所提供的认证可以更好地保护系统的隐私数据与资源，只有当用户的身份合法后方可访问该系统的资源。Spring Security提供了默认的认证相关配置，开发者也可以根据自己实际的环境进行自定义身份认证配置。下面对Spring Security的认证流程以及自定义认证进行讲解。

用户认证就是判断一个用户的身份是否合法的过程，用户访问系统资源时系统要求验证用户的身份信息，身份合法方可继续访问，否则拒绝其访问。

Spring Security的认证流程进行详细介绍。

① 用户提交用户名和密码进行认证请求后，被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter过滤器获取到，将用户名和密码封装到UsernamePasswordAuthenticationToken对象中，该对象为Authentication的实现类。

② 过滤器将封装用户名和密码的Authentication对象提交至AuthenticationManager（认证管理器）进行认证。

③ AuthenticationManager根据当前的认证类型进行认证，认证时会根据提交的用户信息最终返回一个SpringSecurity的UserDetails对象，如果返回的UserDetails对象为空，则说明认证失败，抛出异常。 

④ 如果返回的UserDetails对象不为空，则返回UserDetails对象，最后AuthenticationManager 认证管理器返回一个被填充满了信息的Authentication 实例，包括权限信息， 身份信息，细节信息，但密码通常会被移除。

⑤ SecurityContextHolder安全上下文容器存放填充了信息的Authentication，认证成功后通过 SecurityContextHolder.getContext().setAuthentication()方法，将Authentication设置到其中。