基本概念

“Authentication(认证)”是spring security框架中最重要的功能之一，所谓认证，就是对当前访问系统的用户给予一个合法的身份标识，用户只有通过认证才可以进入系统，在物理世界里，有点类似于“拿工卡刷门禁”的场景。

具体文章🔗：Spring Security 6.x 浅谈身份认证的架构设计 - fullstackyang - SegmentFault 思否

认证架构设计

接口

• Authentication：顶层接口，用于保存身份认证信息，主要包括三个部分：用户标识，凭证，权限信息
• SecurityContext：顶层接口，安全上下文，内部之定义了getAuthentication和setAuthentication两个方法，用于装载对象容器
• AuthenticationManager：定义了认证方法
• AuthenticationProvider：认证协议的具体实现
• SecurityContextRepository：定义了保存和加载SecurityContext对象的方法
• SecurityContextHolderStrategy：顶层接口，定义了在当前请求的线程中，获取和设置SecurityContext对象等方法。

总结

spring security整个认证架构中的认证流程和存取校验流程，再做一个总结:

• 认证流程：AuthenticationManager为这个系统所支持的所有认证协议，统一提供authenticate方法，比如支持用户名密码登录，也支持短信登录，第三方授权登录，不论哪种方式登录，最终都交由这个方法执行，其实现类ProviderManager则高度封装了认证过程，使得不同认证协议进入不同的认证实现类，然后都返回Authentication对象。Authentication定义了一个认证信息应该必须包含的信息，包括用户标识，凭证，权限，因此我们可以自定义AuthenticationProvider，并注册到ProviderManager中，然后再实现自定义认证Filter和Authentication。
• 存取校验流程：在得到认证后的Authentication对象，需要解决的是如何获取Authentication对象，以判断该请求是否已经通过认证，这里就引入了一个重要的类Context，相当于装载Authentication对象容器。首先依赖SecurityContextRepository从持久化的介质（例如session）中加载出来SecurityContext对象，其次通过SecurityContextHolder内部策略类方便快速地读写SecurityContext对象，这里很容易就想到使用ThreadLocal来实现同一个请求的线程中存取操作，spring security也是这么做的，最终在得到SecurityContext后，可以通过其内部的Authentication对象判断是否已认证。