springSecurity安全框架配置详解

关于springSecurity的详细配置可以参考官网：Spring Security Reference

这里只对主要的常用配置做下简单的介绍，其实springSecurity的权限配置主要是围绕三个主题：

1. 元数据配置(安全拦截目录配置),对应的接口：FilterInvocationSecurityMetadataSource
2. 权限判断配置，对应的接口：AccessDecisionManager
3. 用户信息鉴权，对应的接口：UserDetailsService

下面介绍下springSecurity主要的两个配置命名空间：和

• 登陆/退出登陆，的子节点
  其中要注意的一点是login-processing-url的配置指向的地址不能对应项目中的struts或者springMVC配置的地址，这个地址是处理登陆请求的专用地址；
• 配置同一个用户只允许同时登陆一个客户端，的子节点

  
  		org.springframework.security.web.session.HttpSessionEventPublisher
  	

  
  
  这两处配置缺一不可
• 配置url对应的权限
  
  

•  
   其中access可以配置表达式如下：

该配置可以使用中accessDecisionImpl对应的实现来代替(第二个接口实现)

• 的配置
  该配置主要是指定第三个接口的实现，用来提供登录用户的信息，包括该用户所拥有的权限
• 自定义拦截器，的子节点
  其中position也可以使用before和after代替，position的可选值如下:

其中cusFilter的实现实例如下：

authenticationManager对应上面的配置