AbstractAuthenticationProcessingFilter作用及用法

AbstractAuthenticationProcessingFilter是Spring Security中的一个过滤器，用于处理身份验证请求。它是一个抽象类，需要通过继承来实现具体的身份验证逻辑。

使用AbstractAuthenticationProcessingFilter的步骤如下：

1. 创建一个类继承AbstractAuthenticationProcessingFilter，实现其中的抽象方法attemptAuthentication()，该方法用于处理身份验证请求。

2. 在Spring Security配置文件中配置该过滤器，指定要拦截的URL、成功和失败的处理器等。

3. 在Web应用中使用该过滤器，可以通过注解或XML等方式进行配置。

例如，下面的代码演示了如何使用AbstractAuthenticationProcessingFilter实现基于表单的身份验证：

public class MyAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    public MyAuthenticationFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password);
        return this.getAuthenticationManager().authenticate(token);
    }
}

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyAuthenticationSuccessHandler authenticationSuccessHandler;

    @Autowired
    private MyAuthenticationFailureHandler authenticationFailureHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/login").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginProcessingUrl("/login")
                .successHandler(authenticationSuccessHandler)
                .failureHandler(authenticationFailureHandler);
    }

    @Bean
    public MyAuthenticationFilter authenticationFilter() throws Exception {
        MyAuthenticationFilter filter = new MyAuthenticationFilter();
        filter.setAuthenticationManager(authenticationManagerBean());
        filter.setAuthenticationSuccessHandler(authenticationSuccessHandler);
        filter.setAuthenticationFailureHandler(authenticationFailureHandler);
        return filter;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER");
    }
}

public class MyAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.setStatus(HttpServletResponse.SC_OK);
        response.getWriter().println("Authentication success");
    }
}

public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.getWriter().println("Authentication failure");
    }
}

上述代码中，MyAuthenticationFilter继承AbstractAuthenticationProcessingFilter，实现attemptAuthentication()方法，处理身份验证请求。

在SecurityConfig中，通过配置http.csrf().disable()禁用了CSRF防护，permitAll()允许登录页面的访问，authenticated()要求其他页面需要身份验证，formLogin()配置了表单登录，并指定了登录处理URL为/login，成功和失败的处理器分别为authenticationSuccessHandler和authenticationFailureHandler。

在authenticationFilter()方法中，通过设置AuthenticationManager、AuthenticationSuccessHandler和AuthenticationFailureHandler来初始化MyAuthenticationFilter。

在configure(AuthenticationManagerBuilder auth)方法中，使用inMemoryAuthentication()方法配置了一个内存中的用户，并指定了用户名、密码和角色。

在MyAuthenticationSuccessHandler和MyAuthenticationFailureHandler中，分别处理了身份验证成功和失败的情况。

最后，可以使用注解或XML等方式将MyAuthenticationFilter配置到Web应用中。