一、BearerTokenAuthenticationFilter

1、基本作用

BearerTokenAuthenticationFilter是Spring Security资源服务器的核心过滤器。负责对请求中携带的Token进行校验，提取认证信息，以确定当前请求是否有权限访问对应的资源。
以下是BearerTokenAuthenticationFilter的大致结构：

成员属性都在上一文中进行了说明，这里就不再赘述了。

2、核心逻辑

作为一个OncePerRequestFilter（一次请求的过滤器）核心的逻辑还在doFilterInternal方法中:

具体的逻辑为下：

1. 利用BearerTokenResolver从当前请求中提取token字符串，如果提取过程中发生异常就直接交给认证端点接口AuthenticationEntryPoint（默认是BearerTokenAuthenticationEntryPoint）处理。
2. 如果该请求解析不出有效的token，就进入过滤器链中的其它过滤器。
3. 如果该请求解析出了有效的token，就封装成未授信的BearerTokenAuthenticationToken。
4. 利用AuthenticationManagerResolver从当前请求中解析出对应的AuthenticationManager对步骤③中的BearerTokenAuthenticationToken进行认证。
   如果使用了JWT，认证则由JwtAuthenticationProvider处理，认证成功后返回JwtAuthenticationToken，并存放到安全上下文SecurityContext中。
5. 不管是什么Token风格，认证失败后都会交给AuthenticationFailureHandler处理。

3、JwtAuthenticationProvider

JwtAuthenticationProvider是资源服务器处理JWT风格的AuthenticationProvider。它利用JwtDecoder将token字符串解码为Jwt对象。

然后用默认提供的JwtAuthenticationConverter（可自定义）将Jwt转换为JwtAuthenticationToken，代码逻辑为：

@Override
	public final AbstractAuthenticationToken convert(Jwt jwt) {
    
        // 1、默认从Jwt的 scope 或者 scp中提取权限并加以SCOPE_前缀，你可以通过自定义JwtAuthenticationConverter中的jwtGrantedAuthoritiesConverter属性来改变该逻辑。
		Collection<GrantedAuthority> authorities = extractAuthorities(jwt);
        // 2、 默认从Jwt的sub中提取用户标识作为Token的名称，你可以通过自定义JwtAuthenticationConverter中的principalClaimName属性来改变这一设定。
		String principalClaimValue = jwt.getClaimAsString(this.principalClaimName);
        // 3、将前两步骤中提取的属性连同Jwt对象一起封装为JwtAuthenticationToken返回，该JwtAuthenticationToken就是保存在安全上下文SecurityContext中的对象。
		return new JwtAuthenticationToken(jwt, authorities, principalClaimValue);
	}

4、小结

BearerTokenAuthenticationFilter的逻辑非常简单，大多数情况下过滤器都有拦截条件，即有对应的RequestMatcher，而这个过滤器没有，它会拦截处理所有携带token的请求。结合上一篇，可以对OAuth2ResourceServerConfigurer的所有的配置项进行自定义来加深理解，到此整个资源服务器的讲解就结束了，接下来我们该进入授权服务器的相关知识了。