一、普通登录认证过程
1.用户发起登录请求,请求登录接口/login(springsecurity默认登录接口地址)
2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证
3.attemptAuthentication方法在请求中获取到username、password参数封装成一个Authentication对象,调用providerManagerauthenticate方法认证(providerManager认证其实是由实现了AuthenticationProvider接口的各种provider对象认证的),这里完成真正认证逻辑的是DaoAuthenticationProvider对象,如果认证成功则将用户信息放置到SpringsecurityContext中。进入后面的认证成功或失败处理逻辑。
二、OAuth2获取token认证过程
获取token时主要认证两个信息:1)client_id、client_secre 2)username、password
1.用户发起获取token的请求,请求/oauth/token接口。
2.首先会经过滤器ClientCredentialsTokenEndpointFilter,如果请求/oauth/token,则开始对client_id、client_secre进行认证。
3.过滤器ClientCredentialsTokenEndpointFilter通过clientId查询生成一个Authentication对象。
4.然后过滤器ClientCredentialsTokenEndpointFilter,调用providerManager对象的authenticate方法,将带有client信息Authentication对象传入,进行客户端的认证(providerManager认证其实是由实现了AuthenticationProvider接口的各种provider对象认证的),这里完成真正认证逻辑的是DaoAuthenticationProvider对象。
5.以上认证客户端信息的逻辑全部通过后,会进入地址/oauth/token,即TokenEndpoint的postAccessToken方法中。
6.postAccessToken方法中会验证Scope,然后验证是否是refreshToken请求等。
7.之后调用AbstractTokenGranter(此时的实现类是ResourceOwnerPasswordTokenGranter)中的grant方法。
8.grant方法中调用getAccessToken方法,在这个方法中又逐步调用到WebSecurityConfigurerAdapter的AbstractUserDetailsAuthenticationProvider的authenticate方法,对username与password进行认证
9.验证通过后,把得到Authentication认证结果对象包装成OAuth2Authentication认证对象。然后传给DefaultTokenServices类的tokenStore的getAccessToken方法,利用OAuth2Authentication对象中的信息查找tokenStore中是否已经存在token,存在则返回OAuth2AccessToken对象。如果不存在DefaultTokenServices则调用createAccessToken方法创建OAuth2AccessToken对象。
10.然后将OAuth2AccessToken对象包装进响应流返回。
刷新token(refresh token)的流程
刷新token(refresh token)的流程与获取token的流程只有⑨有所区别:
1.获取token调用的是AbstractTokenGranter中的getAccessToken方法,然后调用tokenStore中的getAccessToken方法获取token。
2.刷新token调用的是RefreshTokenGranter中的getAccessToken方法,然后使用tokenStore中的refreshAccessToken方法获取token。
