spring security AuthenticationManager vs AuthenticationProvider？

Question

有人能告诉我 Spring Security 中 AuthenticationManager 和 AuthenticationProvider 之间的区别吗？

如何使用它们以及如何调用它们。我的理解是SecurityFilter 会调用AuthenticationManager 来验证Authentication 对象？但是，AuthenticationProvider 在哪里发挥作用呢？

谢谢！

Answer 1

我认为AuthenticationManager 将持久用户信息的获取委托给一个或多个AuthenticationProviders。身份验证提供者（例如DaoAuthenticationProvider, JaasAuthenticationProvider, LdapAuthenticationProvider, OpenIDAuthenticationProvider）专门访问特定的用户信息存储库。 参考手册的this part 中提到了其他内容。它说：

您可能希望向 ProviderManager 注册其他 AuthenticationProvider bean，您可以使用具有 ref 属性的元素来执行此操作，其中属性的值是您要添加的提供程序 bean 的名称。 em>

换句话说，您可以指定多个 AuthenticationProvider，例如，一个在 LDAP 数据库中查找用户，另一个在 SQL 数据库中查找。

Answer 2

来自春天reference

AuthenticationManager 只是一个接口，所以实现可以是我们选择的任何东西

Spring Security 中的默认实现称为ProviderManager，而不是自己处理身份验证请求，它委托给已配置的AuthenticationProvider 列表，依次查询每个列表以查看是否可以执行身份验证.每个提供者要么抛出异常，要么返回一个完全填充的 Authentication 对象。

此外，如果您查看AuthenticationManager、ProviderManager 和AuthenticationProvider 的源代码，您可以清楚地看到这一点。

ProviderManager 实现了AuthenticationManager 接口，它具有 AuthenticationProviders 列表。所以如果你想有自定义的认证机制，你需要实现新的AuthenticationProvider。

Answer 3

AuthenticationManager 和 AuthenticationProvider 都是接口。它们在 Spring Security Flow 中具有不同的功能。

参考-
Spring Boot + Spring Security Architecture

AuthenticationManager - 当用户尝试访问应用程序时，http 请求被过滤器/过滤器链拦截。使用创建的身份验证对象，过滤器将调用身份验证管理器的身份验证方法。 Authentication Manager 只是一个接口，authenticate 方法的实际实现由 ProviderManager 提供。ProviderManager 有一个 AuthenticationProviders 列表。它从它的身份验证方法调用适当的 AuthenticateProvider 的身份验证方法。作为响应，如果身份验证成功，它将获取主体身份验证对象。

AuthenticationProvider - AuthenicationProvider 是一个带有认证和支持方法的接口。它有各种实现，例如 CasAuthenticationProvider 或 DaoAuthenticationProvider。根据实现，使用适当的 AuthenicationProvider 实现。它在 AuthenticationProvider 实现的 authenticate 方法中进行所有实际的身份验证。