春季安全調用另一個身份驗證提供程序，即使第一個提供程序失敗

Question

我在Spring Security中使用了身份驗證提供程序。我有兩個身份驗證提供程序：LocalAuthenticationProvider和RemoteAuthenticationProvider。認證流程是

1. 應用程序檢查在本地數據庫
2. 如果是本地認證通過證書，需要調用RESTful Web服務進行身份驗證 憑證。
3. 如果本地認證失敗，則認爲 認證失敗，響應401。

@Override 
protected void configure(
    AuthenticationManagerBuilder auth) throws Exception { 
    auth.authenticationProvider(localProvider).authenticationProvider(remoteProvider); 
} 

LocalAuthenticationProvider拋出AuthenticationException如果憑據失敗。如果憑證是passed，則返回null。

我的問題是Spring安全框架調用RemoteAuthenticationProvider甚至LocalAuthenticationProvider是failed。

當我從AuthenticationManagerBuilder提供商列表中刪除RemoteAuthenticationProvider，它的作品甚至LocalAuthenticationProvider是failed。

我想知道如何實現這個身份驗證流程。這兩個提供者是相互依賴的。

Answer 1

看的Javadoc ProviderManager它似乎是，如果你的第一個供應商是拋出AccountStatusException那麼認證將不會進行到第二供應商：

http://docs.spring.io/autorepo/docs/spring-security/4.0.3.RELEASE/apidocs/org/springframework/security/authentication/ProviderManager.html

例外的過程[提供者被調用，直到一次通過]是當提供者拋出 AccountStatusException,在這種情況下，將不會查詢列表 中的其他提供者。