在 Spring Security 的架构设计中，认证（Authentication）和授权（Authorization）是分开
的，在本书后面的章节中读者可以看到，无论使用什么样的认证方式，都不会影响授权，这是
两个独立的存在，这种独立带来的好处之一，就是 Spring Security 可以非常方便地整合一些外
部的认证方案。

02.认证

2.1 用户信息存储地方

在 Spring Security 中，用户的认证信息主要由 Authentication 的实现类来保存，
Authentication 接口定义如下：

public interface Authentication extends Principal, Serializable {

	 Collection<? extends GrantedAuthority> getAuthorities();
	 
	 Object getCredentials();
	 
	 Object getDetails();
	 
	 Object getPrincipal();
	 
	 boolean isAuthenticated();
	 
	 void setAuthenticated(boolean isAuthenticated);
	 
}

当用户使用用户名/密码登录或使用 Remember-me 登录时，都会对应一个不同的Authentication 实例。

2.2

Spring Security 中的认证工作主要由 AuthenticationManager 接口来负责，下面来看一下该接口的定义：

public interface AuthenticationManager {
 Authentication authenticate(Authentication authentication)
 throws AuthenticationException;
}

AuthenticationManager 最主要的实现类是 ProviderManager，ProviderManager 管理了众多
的 AuthenticationProvider 实例，AuthenticationProvider 有点类似于 AuthenticationManager，但
是它多了一个 supports 方法用来判断是否支持给定的 Authentication 类型。

public interface AuthenticationProvider {
 Authentication authenticate(Authentication authentication)
 throws AuthenticationException;
 boolean supports(Class<?> authentication);
}

由 于 Authentication 拥 有 众 多 不 同 的 实 现 类 ， 这 些 不同的实现类 又 由 不 同 的
AuthenticationProvider 来处理，所以 AuthenticationProvider 会有一个 supports 方法，用来判断
当前的 Authentication Provider 是否支持对应的 Authentication。

在一次完整的认证流程中，可能会同时存在多个 AuthenticationProvider（例如，项目同时
支持 form 表单登录和短信验证码登录），多个 AuthenticationProvider 统一由 ProviderManager
来管理。同时，ProviderManager 具有一个可选的 parent，如果所有的 AuthenticationProvider
都认证失败，那么就会调用 parent 进行认证。parent 相当于一个备用认证方式，即各个
AuthenticationProvider 都无法处理认证问题的时候，就由 parent 出场收拾残局。

2.3
当完成认证后，接下来就是授权了。在 Spring Security 的授权体系中，有两个关键接口：

AccessDecisionManager
AccessDecisionVoter

AccessDecisionVoter 是一个投票器，投票器会检查用户是否具备应有的角色，进而投出赞成、反对或者弃权票；AccessDecisionManager 则是一个决策器，来决定此次访问是否被允许。
AccessDecisionVoter 和 AccessDecisionManager 都有众多的实现类，在 AccessDecisionManager中会挨个遍历 AccessDecisionVoter，进而决定是否允许用户访问，因而 AccessDecisionVoter和 AccessDecisionManager 两者的关系类似于 AuthenticationProvider 和 ProviderManager 的关系。