spring security 的几个细节

<intercept-url pattern="/" access="permitAll"/>
<http pattern="/aboutus/**/*" security="none"/>
注意,permitAll和none是有区别的,permitAll指所有登录和未登录人员都可以访问,这个设置是需要经过security filter的,而none也指所有人员都可以访问,但不会经过sec filter。这个设置在一些地方会有影响,比如,要在不必授权的页面获取当前已登录用户的principal,这个时候,设置none肯定是获取不到,应该用permitAll。参考文章:

[url]
http://stackoverflow.com/questions/7391735/difference-between-access-permitall-and-filters-none
[/url]

在页面获取principal的信息,如果扩展了userdetails,也是可以获取得到的,例如<security:authentication property="principal.username" />是固有的属性,如果你扩展了userDetails,比如有一个getPhone属性,也可以<security:authentication property="principal.phone" />来获取。参考:

[url]
http://stackoverflow.com/questions/4951984/get-custom-property-of-user-principal
[/url]

对于未登录用户,spring sec会将用户重定向到login页面,那么,如果要让用户签权后,重定向到之前访问的页面怎么办?有个设置要设,always-use-default-target=false,设置成false。参考:

[url]
http://stackoverflow.com/questions/9267809/spring-mvc-and-login-redirect
[/url]

在页面上判断用户是否已经登录,可以用<sec:authorize access="isAuthenticated()"> ,参考:

[url]
http://stackoverflow.com/questions/9048995/get-spring-security-principal-in-jsp-el-expression
[/url]

spring sec中有匿名用户的概念,可以参考:

[url]
http://stackoverflow.com/questions/9054401/spring-security-3-1-and-returning-anonymous-userdetails
[/url]

你可能感兴趣的:(spring,jsp,Security)