Spring Security 2 权限配置精讲.docVIP

Spring Security基本配置 Spring Security是基于Spring的的权限认证框架，对于Spring和Acegi已经比较熟悉的同学对于之前的配置方式应该已经非常了解。接下来的例子，将向大家展示Spring Security基于schema的配置方式。  最小化配置 1. 在web.xml文件中加入Filter声明 Xml代码 !--?Spring?security?Filter?--?? filter?? ????filter-namespringSecurityFilterChain/filter-name牋 牋牋filter-classorg.springframework.web.filter.DelegatingFilterProxy/filter-class牋 /filter牋 filter-mapping牋 牋牋filter-namespringSecurityFilterChain/filter-name牋 牋牋url-pattern/*/url-pattern牋 /filter-mapping牋 !-- Spring security Filter -- filter filter-namespringSecurityFilterChain/filter-name filter-classorg.springframework.web.filter.DelegatingFilterProxy/filter-class /filter filter-mapping filter-namespringSecurityFilterChain/filter-name url-pattern/*/url-pattern /filter-mapping 这个Filter会拦截所有的URL请求，并且对这些URL请求进行Spring Security的验证。 注意，springSecurityFilterChain这个名称是由命名空间默认创建的用于处理web安全的一个内部的bean的id。所以你在你的Spring配置文件中，不应该再使用这个id作为你的bean。 与Acegi的配置不同，Acegi需要自行声明一个Spring的bean来作为Filter的实现，而使用Spring Security后，无需再额外定义bean，而是使用http元素进行配置。 2. 使用最小的http配置 Xml代码 http?auto-config=true?? ????intercept-url?pattern=/**?access=ROLE_USER?/?? /http?? http auto-config=true intercept-url pattern=/** access=ROLE_USER / /http 这段配置表示：我们要保护应用程序中的所有URL，只有拥有ROLE_USER角色的用户才能访问。你可以使用多个intercept- url元素为不同URL的集合定义不同的访问需求，它们会被归入一个有序队列中，每次取出最先匹配的一个元素使用。 所以你必须把期望使用的匹配条件放到最上边。 3. 配置UserDetailsService来指定用户和权限 接下来，我们来配置一个UserDetailsService来指定用户和权限： Xml代码 authentication-provider?? ????user-service?? ??????user?name=downpour?password=downpour?authorities=ROLE_USER,?ROLE_ADMIN?/?? ??????user?name=robbin?password=robbin?authorities=ROLE_USER?/?? ??????user?name=QuakeWang?password=QuakeWang燼uthorities=ROLE_ADMIN?牋 牋牋/user-service牋 牋/authentication-provider牋 authentication-provider user-service user name=downpour password=downpour authorities=ROLE_USER, ROLE_ADMIN / user name=robbin password=robbin authorities=ROLE_USER / user name=QuakeWang password=QuakeWang auth