深入理解 AuthenticationManagerBuilder 【源碼篇】

咱們繼續來擼 Spring Security 源碼。

前面和大家分享了 SecurityBuilder 以及它的一個重要實現 HttpSecurity，在 SecurityBuilder 的實現類里邊，還有一個重要的分支，那就是 AuthenticationmanagerBuilder，AuthenticationManagerBuilder 看名字就知道是用來構建 AuthenticationManager 的，所以今天我們就來看一看 AuthenticationManager 到底是怎么構建的。

1.初步理解

在 Spring Security 中，用來處理身份認證的類是 AuthenticationManager，我們也稱之為認證管理器。

AuthenticationManager 中規范了 Spring Security 的過濾器要如何執行身份認證，并在身份認證成功后返回一個經過認證的 Authentication 對象。AuthenticationManager 是一個接口，我們可以自定義它的實現，但是通常我們使用更多的是系統提供的 ProviderManager。

1.1 ProviderManager

ProviderManager 是的最常用的 AuthenticationManager 實現類。

ProviderManager 管理了一個 AuthenticationProvider 列表，每個 AuthenticationProvider 都是一個認證器，不同的 AuthenticationProvider 用來處理不同的 Authentication 對象的認證。一次完整的身份認證流程可能會經過多個 AuthenticationProvider。

ProviderManager 相當于代理了多個 AuthenticationProvider，他們的關系如下圖：

1.2 AuthenticationProvider

AuthenticationProvider 定義了 Spring Security 中的驗證邏輯，我們來看下 AuthenticationProvider 的定義：

public interface AuthenticationProvider { Authentication authenticate(Authentication authentication) throws AuthenticationException; boolean supports(Class authentication); }

1

2

3

4

5

可以看到，AuthenticationProvider 中就兩個方法：

authenticate 方法用來做驗證，就是驗證用戶身份。

supports 則用來判斷當前的 AuthenticationProvider 是否支持對應的 Authentication。

在一次完整的認證中，可能包含多個 AuthenticationProvider，而這多個 AuthenticationProvider 則由 ProviderManager 進行統一管理，具體可以參考松哥之前的文章：松哥手把手帶你捋一遍 Spring Security 登錄流程。

最常用的 AuthenticationProvider 實現類是 DaoAuthenticationProvider。

1.3 Parent

每一個 ProviderManager 管理多個 AuthenticationProvider，同時每一個 ProviderManager 都可以配置一個 parent，如果當前的 ProviderManager 中認證失敗了，還可以去它的 parent 中繼續執行認證，所謂的 parent 實例，一般也是 ProviderManager，也就是 ProviderManager 的 parent 還是 ProviderManager。可以參考如下架構圖：

從上面的分析中大家可以看出，AuthenticationManager 的初始化會分為兩塊，一個全局的 AuthenticationManager，也就是 parent，另一個則是局部的 AuthenticationManager。先給大家一個結論，一個系統中，我們可以配置多個 HttpSecurity（參見Spring Security 竟然可以同時存在多個過濾器鏈？），而每一個 HttpSecurity 都有一個對應的 AuthenticationManager 實例（局部 AuthenticationManager），這些局部的 AuthenticationManager 實例都有一個共同的 parent，那就是全局的 AuthenticationManager。

接下來，我們通過源碼分析來驗證我們上面的結論。

本文內容和上篇文章緊密相關，如果大家還沒看過上篇源碼分析文章，一定點擊超鏈接先看下。

2.源碼分析

在上篇文章中，松哥已經和大家分析了 SecurityBuilder 的幾個常見實現類 AbstractSecurityBuilder、AbstractConfiguredSecurityBuilder、HttpSecurityBuilder，本文關于這幾個類我就不重復介紹了。

我們直接來看 AuthenticationManagerBuilder，先來看它的一個繼承關系：

可以看到，【上篇文章】中介紹的全部都是 AuthenticationManagerBuilder 的父類，所以 AuthenticationManagerBuilder 已經自動具備了其父類的功能。

AuthenticationManagerBuilder 的源碼比較長，我們來看幾個關鍵的方法：

public class AuthenticationManagerBuilder extends AbstractConfiguredSecurityBuilder implements ProviderManagerBuilder { public AuthenticationManagerBuilder(ObjectPostProcessor