spring security3.1配置比较纠结的一个问题

无疑问的,spring security在怎么保护网页应用安全上做得很强很周全,但有些地方还是很差强人意,比如对<http/>这个标签,对auto-config="true"与use-expressions="true"的描述和关系辨析上,就语焉不详。升级到3.1版本后,居然发现有莫名奇妙的错误,比如无法解析'ROLE_ADMIN'这样的标准配置,或者报:

引用

ield or property cannot be found on object of type 'org.springframework.security.web.access.expression.WebSecurityExpressionRoot'


这样摸不着头脑的错误。如果有遇到这类问题,一个要仔细看官方文档,彻底理解use-expressions的含义,比如,在用use-expressions后,就不能用access="ROLE_USER"这样的配置了,而且在3.1之后,如果同时用auto-config='true'和use-expression="true"是不行的,就好比撞了两面墙,左右不是,这种问题的确是使用spring security这样的庞然大物时比较令人生畏之处,用好了事情迎刃而解,用不好破敌800自损3000,这是因为安全本身就很复杂,一般只能case by case的实现和解决,也难为了做spring security这群人了。

怎么办?啃吧,专注深入的学习spring security,从它的手册tutorial一点点看起。

你可能感兴趣的:(spring)