背景和需求：

一个SpringBoot项目，认证授权采用：SpringSecurity+Token（JWT）支持Web端，现需要同时并行的支持其它端的认证授权。

SpringSecurity

SpringSecurity中的filter链：

SpringSecurity中常用的类：

1、Authentication，认证对象，认证请求时组装成该对象；

2、AuthenticationManager，认证管理器，处理身份验证请求，返回一个Authentication对象，发生异常抛出AuthenticationException；

3、ProviderManager，认证提供者管理器，对认证请求链进行管理；

4、AuthenticationProvider，认证提供者，表明支持认证类型，进行认证逻辑处理；

5、UserDetailsService，用户信息服务对象；

6、UserDetails，用户信息对象；

其他相关：

、 、

改造方案：

认证改造（流程和逻辑），UsernamePasswordAuthenticationFilter拦截：

1、attemptAuthentication()方法，执行解析认证JSON参数，构造【Authentication，认证对象（已添加客户端类型：clientType）】，调用：AuthenticationManager，认证管理器】的authenticate()方法，【AuthenticationManager】调用了【ProviderManager】的authenticate()方法，方法中遍历【AuthenticationProvider，认证提供者】，找到合适（支持）的【AuthenticationProvider，认证提供者】，【AuthenticationProvider，认证提供者】进行认证（逻辑处理），认证时参数：clientType、username、password，最终【Authentication】对象；

2、successfulAuthentication()方法，取到【Authentication】，根据clientType、username生成token，以JSON（application/json）返回客户端；

授权改造（流程和逻辑），BasicAuthenticationFilter拦截：

doFilterInternal()方法，从request取头参数：Authorization，取到token，解析并验证，token中含有：clientType、username，可分情况处理，构造成UsernamePasswordAuthenticationToken对象，设置：SecurityContextHolder.getContext().setAuthentication(authenticationToken)，之后进行鉴权（访问控制权限）逻辑，成功后继续执行后续业务；

注：因涉及版权，代码就不贴了，只谈技术，实在抱歉~