SpringSecurity+JWT 登录授权过滤器

每次请求都会”携带“ token（ token 在 request 的 header 里面）

拦截验证过程：

　　request -> header -> token -> username -> userDetails(getAuthentication()) -> authentication

　　SecurityContextHolder.getContext().setAuthentication(authentication)　　//建立安全上下文

一、登录接口

1.首次登录

 进入JwtAuthenticationTokenFilter 获取携带token，根据token获取登录用户，第一次登录token为空，所以登录用户loginuser也为空，然后进入doFilter判断此次访问的链接是否需要拦截认证，由于是登录（已在configure中配置免拦截）直接进入api接口，然后创建token，根据username password code uuid ， code和uuid用于验证码验证，然后根据username和password构建UsernamePasswordAuthenticationToken,然后对authentication 进行一系列验证。authentication =authenticationManager.authenticate(authenticationToken);

2. 由于是登录接口直接放行进入api接口，然后生成令牌token

 3.对验证码验证，然后获取到authentication，然后进行一系列验证开始

  4.最终交给了providermanager类处理

 5.由于providerManager中管理者很多AuthenticationProvider,所以又交给AuthenticationProvider处理，一直循环直到找到可以，满足验证authentication对象的provider,这里调用的是DaoAuthenticationProvider中的retrieveUser

 

 6.调用retrieveUser方法中的loadUserByUsename方法获取到UserDetails,然后对用户对象进行账号和密码的验证

7.通过之后，回到 DaoAuthenticationProvider，再次进  行账号异常  密码判断  最后到密码是否过期判断，三个判断

 8.都验证成功后返回结果result

9.带着返回的结果先返回providerManager,最终返回到api接口，对authentication对象验证结束

10.对authentication验证结束并且验证成功后，创建token,并且把token返给前端结束

 二、普通api接口

先进入jwt过滤器，通过携带token获取登录用户，如果没有就会报401，权限不足，否则，先验证token是否正确或者过期。过期或者错误401权限不足，如果正确，然后根据username password构建UsernamePasswordAuthentocationToken,然后放入线程，然后进入doFilter检验是否需要拦截验证，由于前面已经验证通过，所以这里直接放行访问api接口结束