概述

FilterChainProxy是spring-security的入口，包含默认的和用户自定义过滤器。

当访问任意接口，例如： http://localhost:8035/，请求将进入FilterChainProxy打个断点可以看到只使用用户名密码登录时默认有11个过滤器：

几个重要的过滤器：

1. SecurityContextPersistenceFilter： 安全上下文持久化过滤器；认证完成后将SpringContext持久化到会话中，使得用户后续请求可以直接获取SpringContext，避免需要重复认证。

其成员变量repo就是持久化仓库，默认实现是HttpSessionSecurityContextRepository，即将SpringContext保存到Session中。

1. UsernamePasswordAuthenticationFilter： 用户名密码校验过滤器，如果是用户名密码登录请求则开始认证。
2. AnonymousAuthenticationFilter: 匿名用户认证过滤器，如果当前仍未认证，则构建一个匿名用户保存到SpringContext中。为啥不直接抛出AccessDeniedException呢？因为匿名用户也有可以访问的接口。
3. ExceptionTranslationFilter: 异常翻译过滤器，主要处理AuthenticationException和AccessDeniedException
4. FilterSecurityInterceptor: 权限校验过滤器，负责确定当前认证结果是否有访问目标接口的权限，如果没有权限则抛出AccessDeniedException

demo配置

loginPage：指定自定义登录页面，当拒绝访问时会重定向该页面，注意：一旦自定义登录页面，必须指定登录url

loginProcessingUrl：指定用户名密码登录请求url，即UsernamePasswordAuthenticationFilter处理的请求

源码解读

一次顺畅的认证之旅

1. 未登录，浏览器访问根路径被重定向到登录页

服务启动后，在如下图示FilterChainProxy中打断点，浏览器新页面访问http://localhost:8035/

请求进入如下断点：

日志中可可以看到/请求进入：

放行直到nextFilter是SecurityContextPersistenceFilter时，进入该Filter

可以看到先从会话中提取SpringSecurityContext，放入本次请求的ThreadLocal对象中，用于后续处理，因此还未登录，因此这次提取的上下文对象是null，继续后续处理，点击进入chain.doFilter方法，可发现会重新进入FilterChainProxy：

同样断点放行，直到nextNextFilter是UsernamePasswordAuthenticationFilter时进入Filter:

进入requireAuthentication方法：

可发现当前URI是/，并不是/doLogin，因此返回false，然后将执行下一个Filter

放行断点直到AnonymousAuthenticationFilter，并进入：

可以看到构造的Authentication的authorizes是ROLE_ANONYMOUS，同时可以注意到details中有当前会话的sessionId；

放行断点并进入ExceptionTranslationFilter ：

可以看到就是为了捕获后续过滤器的异常的！

放行断点并进入FilterSecurityInterceptor ：

并进入beforeInvocation方法：

进入attemptAuthorization方法：

继续进入decide方法：

进入vote方法：

这符合我们的配置；是怎么判断的呢？肯定是根据配置。比如授权服务器处理/oauth/authorize接口需要authorities包含【ROLE_USER】，当用户未登录或者没有该权限时，这里肯定也返回拒绝!

点击下一步直到抛出异常：

debug点击下一步直到进入ExceptionTranslateFilter:

进入handleSpringSecurityException方法：

进入handleAccessDeniedException方法：

进入sendStartAuthentication（发送到开始认证的页面，即登录页）：

进入commence方法：

断点放行进入FilterChainProxy，直到日志打印：Securing GET /login ，说明这是浏览器在请求登录页面!

2. 浏览器请求登录页面

和之前访问localhost:8035/的请求一样，还是会认证为一个匿名用户，然后进入FilterSecurityIntercepter进行授权校验：

然后在LoginController中打断点：

断点放行，可发现进入了LoginController：

断点放行，浏览器渲染登录页面

3. 用户名密码登录，成功后重定向到根路径

保持FilterChainProxy的断点，输入用户名root密码root点击登录按钮，请求进入断点：

日志也可看到当前请求是/doLogin；

断点放行，直到进入UsernamePasswordAuthenticationFilter：

这次requiresAuthentication方法判断为真了，因此进入认证方法：

可以看到其实进入的类是AbstractAuthencationProcessingFilter，就是各种认证处理过滤器的抽象父类;

进入attemptAuthentication后，就是子类具体实现了：

进入authenticate：

在如下图中标记断点，并放行到该断点：

可发现能处理UsernamePasswordAuthenticationToken的provider是DaoAuthenticationProvider，进入authenticate方法：

进入retrieveUser方法：

因为demo中自定义了InMemoryUserDetailService，因此会进入该Service:

查询返回User:

debug点击下一步，进入方法this.preAuthenticationChecks.check(user)：

可返现校验了用户的状态；

点击下一步进入additionalAuthenticationChecks方法：

进行密码校验，通过后进入 this.postAuthenticationChecks.check(user)：

debug点击下一步直到createSuccessAuthentication：

可以看到最终构造了一个Authentication对象，而且authenticated=true，这个方法可以注意下，当我们向构建登录态时，也可以构建这个对象，比如cookie单点登录设置登录态。

返回SuccessAuthentication后

debug点击下一步，回到抽象父类AbstractAuthenticationProcessingFilter:

可以执行方法successfulAuthentication，并且没有传入filterChain，也就是说肯定不会调用filterChain.doFilter()，因此UsernamePasswordAuthenticationFilter后面的Filter不会被执行了！

进入方法successfulAuthentication：

该方法中可以看到首先保存认证结果到SpringContext，这是为了使SecurityContextPersistenceFilter能够持久化

然后调用了successHandler方法，默认实现是SavedRequestAwareAuthenticationSuccessHandler，用户可以自定义覆盖这个默认实现，进入onAuthenticationSuccess方法：

进入onAuthenticationSuccess方法：

进入handle方法：

debug点击下一步，直到进入SecurityContextPersistenceFilter：

可以看到保存SpringContext到repo中！

保持FilterChainProxy断点：

debug放行，浏览器中可以看到doLogin重定向到localhost:8035/

4. 浏览器访问根路径，页面渲染成功

再次进入FilterChainProxy断点:

日志显示当前请求是 GET /

在根路径中打断点：

debug放行进入SecurityContextPersistenceFilter:

可以看到从repo中加载了前面认证成功后的SecurityContext，并放入SecurityContextHolder中；

因请求根路径，所以不会执行UsernamePasswordAuthenticationFilter的认证方法；

debug放行，进入AnonymousAuthenticationFilter ：

因为SecurityContextHolder中已存在认证对象，因此不会构造匿名认证对象了；

debug放行，直到进入FilterSecurityInterceptor ：

未抛出AccessDeniedException，则校验通过！

debug放行，请求将进入Controller:

debug放行，渲染页面，请求完成：

5. 流程图

密码错误源码分析

先进入登录页面，然后如下打断点：

当输入错误密码并提交，进入断点：

debug点击下一步，密码错误，抛出BadCredentialsException；点击下一步直到回到抽象父类异常捕获方法：

进入unsuccessfulAuthentication：

继续执行认证失败处理器，默认handler是SimpleUrlAuthenticationFailureHandler，进入：

重定向到登录页面！