1.首先CustomUserDetailsService需要實現UserDetailsService(org.springframework.security.core.userdetails.UserDetailsService)介面, 實現獲取使用者Detail資訊的回撥函式. 必須要實現的方法是loadUserByUsername

注意: 這裡的user類必須繼承userDetail類, 並且必須繼承

privateString password;

privateString username;

privateSet<GrantedAuthority> authorities

privatebooleanaccountNonExpired;

privatebooleanaccountNonLocked;

privatebooleancredentialsNonExpired;

這五個屬性

和hashCode, equals這兩個方法;

構造方法中必須給上述的5個屬性賦值, CustomUserDetailsService呼叫構造方法, 生成一個user物件;

如果user不存在, 這裡可以直接丟擲UsernameNotFoundException異常, 具體流程自己試驗下, 前臺SPRING_SECURITY_LAST_EXCEPTION顯示的錯誤是:”壞的憑證

2.loadUserByUsername方法返回後會跳到DaoAuthenticationProvider(org.springframework.security.authentication.dao.DaoAuthenticationProvider)類中retrieveUser方法中

3.retrieveUser方法返回後會跳到

AbstractUserDetailsAuthenticationProvider(org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider

String username =(authentication.getPrincipal() == null) ? "NONE_PROVIDED" : authentication.getName();

boolean cacheWasUsed = true;

UserDetails user = this.userCache.getUserFromCache(username);

如果沒有的話會從上一步DaoAuthenticationProvider的loadUserByUsername方法把user查出來。這裡會拋UsernameNotFoundException這個異常, 應該是使用者不存在這個錯誤, 即Bad credentials.

4. authenticate方法裡面

preAuthenticationChecks.check(user);這裡進行基本有效性驗證(是否有效, 是否被鎖, 是否過期); 程式碼如下:

if (!user.isAccountNonLocked()) {

thrownew LockedException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.locked",

"User account is locked"), user);

}

if (!user.isEnabled()) {

thrownew DisabledException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.disabled",

"User is disabled"), user);

}

if (!user.isAccountNonExpired()) {

thrownew AccountExpiredException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.expired",

"User account has expired"), user);

}

5.authenticate方法裡面

additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken) authentication);這裡進行密碼驗證.

additionalAuthenticationChecks呼叫的是DaoAuthenticationProvider(org.springframework.security.authentication.dao.DaoAuthenticationProvider)中的additionalAuthenticationChecks的方法; 應該是繼承的關係;
具體比較的方法寫在 Md4PasswordEncoder(org.springframework.security.authentication.encoding.Md5PasswordEncoder)類中的

 public boolean isPasswordValid(String encPass, String rawPass, Object salt) 方法中; 可是debug中中不到
Md5PasswordEncoder實現的isPasswordValid方法; 這很蹊蹺...不過根據配置檔案中; 加密方式應該是md5;
<!-- 使用者的密碼加密或解密 -->
    <bean id="passwordEncoder"
        class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />

<!-- 注意能夠為authentication-manager 設定alias別名  -->
    <authentication-manager alias="authenticationManager">
        <authentication-provider user-service-ref="userDetailsManager">
            <password-encoder ref="passwordEncoder">
                <salt-source user-property="username" />
            </password-encoder>
        </authentication-provider>
    </authentication-manager>
所以應該Md5PasswordEncoder也有實現isPasswordValid(String encPass, String rawPass, Object salt) 這個方法;

至於前臺password怎麼傳到這裡; spring security攔截了j_spring_security_check請求; 並把j_password賦給了DaoAuthenticationProvider(org.springframework.security.authentication.dao.DaoAuthenticationProvider)中passwordEncoder屬性; 這個還沒驗證過;

/** auth：張振斌, time: 2012-12-3**/  QQ:739934487