深入Spring Security魔幻山谷-获取认证机制核心原理讲解(新版) (3)

进入到JWTAuthenticationProvider类内部，发现原来该类是继承了DaoAuthenticationProvider。

请注意这段话，很关键：

点击setUserDetailsService(userDetailsService)。进入到方法里面后，发现这里其实是把UserDetailsService通过set方式依赖注入到DaoAuthenticationProvider类中，换言之，我们接下来在加载完成的框架里只需通过DaoAuthenticationProvider的getUserDetailsService()方法，便可获取前面注入的userDetailsService，进而调用其子类实现的loadUserByUsername()方法。

看到这里，您须重点关注一下DaoAuthenticationProvider这个类，它将会在后面再次与我们碰面，而它是一个AuthenticationProvider。

若您还不是很明白AuthenticationProvider究竟是什么，那就暂且统一把它当做信息提供者吧，而它是ProviderManager管理员底下其中一个信息提供者Provider。

写到这里，还有一个疑问，即security框架是如何将信息提供者Provider归纳到ProviderManager管理员手下的呢？

解答这个问题，需回到SecurityConfig配置文件里，点击authenticationProvider进入到底层方法当中。

进入后，里面是具体的方法实现，大概功能就是把注入了userDetailsService的信息提供者DaoAuthenticationProvider添加到一个List集合里，然后再将集合里的所有提供者，通过构造器传入ProviderManager，命名生成一个新的提供者管理员providerManager。这里面还涵盖不少细节，感兴趣的读者可自行再扩展深入研究。

以上，就初步设置好了游戏规则。

接下来，就是主角上场了。

在所有的游戏里，都会有一个主角，而我们这个故事，自然也不例外。

此时，在一扇刻着“登录”二字的大门前，有一个小兵正在收拾他的包袱，准备跨过大门，踏上通往Spring Security山谷的道路。他背负着整个家族赋予的任务，需前往Security山谷，拿到token令牌，只有把它成功带回来，家族里的其他成员，才能有机会穿过这座山谷，前往另一头的神秘世界，获取到珍贵的资源。

这个小兵，便是我们这故事里的主角，我把他叫做线程，他将带着整个线程家族的希望，寻找可通往神秘系统世界的令牌。

线程把族长给予的钥匙和密码放进包袱，他回头看了一眼自己的家乡，然后挥了挥手，跨过“登录”这扇大门，勇敢地上路了。

线程来到戒备森严的security关口前，四周望了一眼，忽然发现关口旁立着一块显眼的石碑，上面刻着一些符号。他走上前一看，发现原来是当年军官设置的指令与对应的说明：

1 @Override 2 protected void configure(HttpSecurity httpSecurity) throws Exception { 3 //使用的是JWT，禁用csrf 4 httpSecurity.cors().and().csrf().disable() 5 //设置请求必须进行权限认证 6 .authorizeRequests() 7 //跨域预检请求 8 .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() 9 //首页和登录页面 10 .antMatchers("/login").permitAll() 11 // 其他所有请求需要身份认证 12 .anyRequest().authenticated(); 13 //退出登录处理 14 httpSecurity.logout().logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler()); 15 //token验证过滤器 16 httpSecurity.addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class); 17 }

其中，permitAll()代表所有请求都可访问，当它设置成类似“.antMatchers("/login").permitAll()”的形式时，则代表该/login路径请求无需认证便可通过，相反，代码anyRequest().authenticated()则意味着其他的所有请求都必须进行身份验证方能通过，否则，会被拒绝访问。

下面，将通过debug一步一步揭示，线程是如何闯关升级的，最后成功获取到传说中的token令牌。

线程来到关口处，不久，在戍守士兵的指引下，开始往login道路走去，前面迎接他，将是一系列的关口检查。

1.传入userName，password属性，封装成一个token对象。