下图为调用subject.login()方法进行登录认证时的方法调用过程。
大致过程为:
1:当调用subject.login方法时,实际上调用的是SecurityManager的login方法。
2:SecurityManager里有个Authenticator(即认证器),SecurityManager会将认证动作交给认证器,认证器可以设置认证策略(这里不说)。
3:SecurityManager设置过AuthenticatingRealm的子类,最终认证动作会传递给AuthenticatingRealm的getAuthenticationInfo方法。
4:重点介绍一下AuthenticatingRealm类的getAuthenticationInfo方法
(1)方法中的token参数是对用户输入的账号和密码的封装
(2)代码第568行是根据token调用doGetAuthenticationInfo,来获取一个AuthenticationInfo对象
(3)AuthenticatingRealm类的doGetAuthenticationInfo方法是抽象方法,供子类重写的(所以我们继承AuthenticatingRealm时都要重写doGetAuthenticationInfo方法),在重写的方法中,我们首先验证token中账号的合法性,然后再根据token中的账号获取到用户保存的密码,最后将密码封装成一个SimpleAuthenticationInfo对象(AuthenticationInfo的子类)返回给568行的info。
(4)在第(3)步中已经进行了账号的合法性验证,而且获取到了用户保存的密码;代码第578行是将用户输入的信息的封装token和获取到的info进行比对(实际上仅仅是密码凭据的比对)。
4:该步骤就是进行密码凭据的比对,比对密码要借助CredentialsMatcher,代码第595行获取到CredentialsMatcher,第597行调用CredentialsMatcher的doCredentialsMatch方法进行比对。
5:CredentialsMatcher的实现类有很多
6:先介绍AuthenticatingRealm的默认Matcher:SimpleCredentialsMatcher是怎么比对密码凭据的。(一般人一眼就能看懂)
