AuthenticationManager+AuthenticationProvider处理认证

AuthenticationManager 和 AuthenticationProvider 是 Spring Security 中处理认证的两个核心组件。它们的配合使用机制是：

1. AuthenticationManager：负责管理认证流程，它通常会委托给多个 AuthenticationProvider 来处理认证。

2. AuthenticationProvider：执行具体的认证逻辑。它接收 Authentication 对象，并尝试认证用户。

配合使用流程：

• 当用户登录时，AuthenticationManager 会将认证请求传递给各个 AuthenticationProvider 进行处理。
• AuthenticationProvider 会根据它的实现逻辑（如数据库查询、LDAP 验证、JWT 验证等）来验证用户的身份。
• 如果某个 AuthenticationProvider 成功验证了用户身份，它将返回一个已认证的 Authentication 对象。否则，它会抛出异常，表示认证失败。

代码示例：

我们将展示如何配置 AuthenticationManager 和自定义的 AuthenticationProvider 来实现用户认证。

1. 自定义 AuthenticationProvider

首先，自定义一个 AuthenticationProvider，它可以实现基于数据库或者其他外部系统的认证。

import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

import java.util.ArrayList;

@Component
public class CustomAuthenticationProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();

        // 这里你可以加入自定义的认证逻辑，比如数据库查询
        if ("admin".equals(username) && "password".equals(password)) {
            // 如果认证成功，返回一个已认证的 Authentication 对象
            return new UsernamePasswordAuthenticationToken(username, password, new ArrayList<>());
        } else {
            throw new UsernameNotFoundException("Invalid username or password.");
        }
    }

    @Override
    public boolean supports(Class<?> authentication) {
        // 这个方法用来判断当前 provider 是否支持传入的认证类型
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}

2. 配置 AuthenticationManager

接着，我们需要配置 AuthenticationManager 来使用这个 AuthenticationProvider。通常，我们在 SecurityConfig 中进行配置：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import java.util.Arrays;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    private final CustomAuthenticationProvider customAuthenticationProvider;

    // 通过构造函数注入自定义的 AuthenticationProvider
    public SecurityConfig(CustomAuthenticationProvider customAuthenticationProvider) {
        this.customAuthenticationProvider = customAuthenticationProvider;
    }

    @Bean
    public AuthenticationManager authenticationManager() {
        // 创建一个 ProviderManager，并传入自定义的 AuthenticationProvider
        return new ProviderManager(Arrays.asList(customAuthenticationProvider));
    }
}

在这个配置中，AuthenticationManager 使用了 ProviderManager 作为默认的实现，它接受多个 AuthenticationProvider，并按顺序尝试每个 provider 进行认证。我们在这里只配置了一个 CustomAuthenticationProvider。

3. 自定义登录逻辑

在某些情况下，你可能想在控制器中手动调用 AuthenticationManager 进行认证，比如处理自定义的登录逻辑：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import java.util.Map;

@RestController
public class LoginController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @PostMapping("/login")
    public String login(@RequestBody Map<String, String> loginRequest) {
        String username = loginRequest.get("username");
        String password = loginRequest.get("password");

        try {
            // 创建未认证的 Authentication 对象
            Authentication authentication = new UsernamePasswordAuthenticationToken(username, password);

            // 调用 AuthenticationManager 进行认证
            Authentication authenticated = authenticationManager.authenticate(authentication);

            // 如果认证成功，返回成功消息
            return "Login successful for user: " + authenticated.getName();
        } catch (AuthenticationException e) {
            // 如果认证失败，返回失败消息
            return "Login failed: " + e.getMessage();
        }
    }
}

4. 测试

当你发送一个 POST 请求到 /login 路径时：

{
    "username": "admin",
    "password": "password"
}

• 如果用户名和密码匹配，认证成功，将返回成功消息。
• 如果认证失败，将返回失败消息。

总结：

• AuthenticationManager：负责管理认证流程，可以通过 ProviderManager 来委托多个 AuthenticationProvider 进行认证。
• AuthenticationProvider：负责执行具体的认证逻辑，验证用户身份，并返回认证结果。

通过这种方式，你可以将认证逻辑解耦，灵活地添加或替换不同的认证方式（如数据库、LDAP、JWT 认证等）。