spring security 3.x 边学习边胡来(1)

阅读更多

1. 简介

   Spring Security基于Spring框架提供了一整套(相对)完整的web应用解决方案。Web 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分。认证上包含http表单，http摘要、OpenID和LDAP等，在授权方面有ACL访问控制列表和基于角色的访问控制。

 

2.  Hello World 型的基本简单配置

 

   2.1 Web.xml 添加 spring security 的过滤器

 

 

		contextConfigLocation
		classpath*:/spring-security.xml

	

 
	    springSecurityFilterChain 
	    org.springframework.web.filter.DelegatingFilterProxy 
 
	
 
        springSecurityFilterChain 
	/* 

 

 

 

    2.2 web.xml 中加入 spring-mvc 的配置用于control

  

  
        springMVC  
        org.springframework.web.servlet.DispatcherServlet  
        
        	contextConfigLocation
        	classpath*:/springMVC.xml
        
        1  
 
  
	    springMVC  
	    /



	org.springframework.web.context.ContextLoaderListener

 

 

   2.3 spring-security.xml 配置

 

 

    
 
  
 
 
  
 
 
  
   最小的配置，auto-config=true 等于
 
  
 
 
  

    
    
    
  
 
  
 
 
  
 
 
  
  intercept-url 即 拦截的url, "/**" 表示所有的全拦截了，access表示role_user的认证用户才能连接
 
  
   
 
  
  2.4 form-login 配置
 
  
 
 
  
 
  
   
 
  
 
 
  
   这个已经是对form-login的个性配置了，login-page配置login的连接，取代默认的spring-security-check（记不清了，可以不配置的情况下看下，authentication-failure-url表示认证出错是跳转的url
 
  
 
 
  
   2.5 intercept-url 配置非认证用户都可以连接
 
  
  
 
  
 
 
  
 
  
 
 
  
 
 
  
   2.6 logout配置
 
  
    
 
  
 
  
 
 
  
 
 
  
   2.7 Authentication 配置
 
  
    
 
  
    这边用的固定用户，实际项目可能不这样写，这例子就简便处理，后面再学习换成datasource
 
  
    
 
  

	
		
			
			
		
	
 
  
 
 
  
 
 
  
3. 例子说明
 
  
   
 
  
    到这可以运行例子了，当然如果form-login配置了login-page的话必须自己写个页面来登录，上面index.jsp等都自己随便写。
 
  
    简单的http表单的认证登录就完成了，后面要做的就是根据实际情况改装，深入。
 
  
 
 
  
    （持续更新中.....）