## **认证流程** 认证流程分为登录流程和注销流程，下面将一一叙述。 1)登录流程 ---> SecurityContextPersistenceFilter ---> UsernamePasswordAuthenticationFilter (先获取用户名和密码，并将其封装成UsernamePasswordToken，然后调用AuthenticationManager进行验证) ---> AuthenticationManager (根据token类型选择合适的AuthenticationProvider来处理认证请求) [默认实现类：ProviderManager] AuthenticationManager是一个用来处理请求的接口，它自己不直接处理认证请求，而是委托给其所配置的AuthenticationProvider列表，然后会依次使用每一个 AuthenticationProvider 进行认证，如果有一个AuthenticationProvider 认证后的结果不为 null，则表示该AuthenticationProvider已经认证成功，之后的AuthenticationProvider 将不再继续认证。然后直接以该 AuthenticationProvider 的认证结果作为 ProviderManager 的认证结果。如果所有AuthenticationProvider 的认证结果都为null，则表示认证失败，将抛出一个ProviderNotFoundException。 ---> AuthenticationProvider (请求认证处理) [默认实现类：DaoAuthencationProvider] DaoAuthenticationProvider认证过程： DaoAuthenticationProvider先调用UserDetailsService 的loadUserByUsername()方法获取UserDetails，获取后再与 UsernamePasswordAuthenticationFilter获取的username和password进行比较；如果认证通过后会将该 UserDetails 赋给认 证通过的 Authentication的principal，然后再把该 Authentication 存入到 SecurityContext 中。默认情况下，在认证成功后 ProviderManager也将清除返回的Authentication中的凭证信息。 注意在这里面根据需要增加[自定义关键类(UserDetailService)：实现UserDetailService接口并复写loadUserByUsername()] 问：为什么AuthenticationManager不直接认证请求？ 答：因为token有多种类型。比如最简单的UsernamePasswordAuthenticationToken，还有spring social的token； ---> Authentication对象 Spring Security使用一个Authentication 对象来描述当前用户的相关信息。SecurityContextHolder中持有的是当前用户的 SecurityContext，而 SecurityContext 持有的是代表当前用户相关信息的 Authentication 的引用。这个 Authentication 对象不需要我们自己去创建，在与系统交互的过程中，Spring Security会自动为我们创建相应的Authentication对象，然后赋值给当前的SecurityContext。 2）注销流程 1、使HttpSession失效； 2、清除所有已经配置的remember-me认证； 3、清除SecurityContextHolder中的user信息，并设置Authentication中的Authenticated属性为false； 4、跳转到指定url；