spring security3.1的文档可以去官网下，里面有jar包和说明文档

关于Spring Security3.1的配置网上也很多，但是看看是没有用的，还是需要自己慢慢研究搭环境。

先从最简单的开始说起。

测试项目在：http://download.csdn.net/detail/cctv99999999/7112505    可以下载，测试通过可用。数据库采用mysql。需要的同学可以去看一下。jar包已经配好。

环境搭建

首先我们先把环境搭起来，

我用的是spring mvc+spring securiity3.1,先要配置web.xml文件，

spring-security.xml是用来配置security的，dispatcher-servlet.xml是用来配置spring mvc的，

spring mvc的配置很简单，我上面都打了注释。

这时候去配置security，我们可以去查阅官方的文档资料。主要的配置在这网页上：

spring-security-3.1.4.RELEASE-dist/spring-security-3.1.4.RELEASE/docs/reference/ns-config.html，在3,。1中我们可以看大下面的基础配置文件

我们可以将第二段段基础配置文件复制到spring-security.xml中，如下

这样环境基本就搭建好了。

硬编码的简单配置

在春天spring-securoty.xml配置文件中添加如下配置：

然后基本就可以启动了。security会自动生成登录页面的。http://localhost:8080/spring-security/spring_security_login，这是自动生成的网页代码

他有默认的请求路径和post字段，如果我们自己写登录页面这些都是不能改的。

第二种是通过查数据库来找到用户拥有的权限来控制用户的访问：

建表sql 数据库采用mysql

修改spring-security.xml文件：

首先编辑自己的登录页面：登录界面中提交的字段必须是security默认的，

user.jsp页面：user页面是ROLE_USER权限界面，其中引用了security标签，在配置文件中 use-expressions="true"代表启用页面控制语言，就是根据不同的权限页面显示该权限应该显示的内容。如果查看网页源代码也是看不到初自己权限以外的内容的。

Controller层

接口： 在配置文件中<global-method-security jsr250-annotations="enabled"/>就是在接口上设置权限，当拥有权限时才能调用方法，没有权限是不能调用方法的，保证了安全性

实现类 dao

下面就是重要的一个类：MyUserDetailsService这个类需要去实现UserDetailsService这个接口；

登录的时候获取登录的用户名，然后通过数据库去查找该用户拥有的权限将权限增加到Set<GrantedAuthority>中，当然可以加多个权限进去，只要用户拥有其中一个权限就可以登录进来。

然后将从数据库查到的密码和权限设置到security自己的User类中，security会自己去匹配前端发来的密码和用户权限去对比，然后判断用户是否可以登录进来。登录失败还是停留在登录界面。

在user.jsp中测试了用户权限来验证是否可以拦截没有权限用户去访问资源：

点击添加报表管理员或者删除报表管理员时候会跳到403.jsp因为没有权限去访问资源，在接口上我们设置了访问的权限：

因为登录进来的用户时ROLE_USER权限的。就被拦截下来。logout是登出，返回到登录界面，并且用户在security中的缓存清掉了。一样会对资源进行拦截。

接下来应该是对访问url进行资源权限管理，

先说说上面的那种方法吧，在接口上加上权限，其实这已经差不多可以在一般的项目中可以使用。作为管理员用户他可以有多种角色，那么他可以在访问ROLE_USER,ROLE_ADMIN的东西，而在接口上没有加上访问权限的，最为公共部分，每个人都可以访问的，访问需要验证的资源就会自动跳转到登录界面，登录后访问没有权限的资源就会提示403,没有权限。基本可以满足项目需求。在spring-security.xml中也就不需要配置，可以让所有的地址同行。这种方法是简单，但是不灵活。如果项目是在做了的时候固定什么用户有什么权限，可以访问哪些方法，那么这种配置时比较简单的，但是如果项目需要后期超级管理员可以更改角色可以访问哪些资源的话，那么这种昂发就不行了。需要用将角色可访问资源链接保存到数据库，可以随时更改。

下面就介绍这种可以修改角色访问资源的灵活配置。用哪种方法还是更具项目需求而定。

需要修改配置文件在http标签里添加custom-filter，添加资源权限控制配置，资源权限控制中涉及到两个类。MyAccessDecisionManager和MySecurityMetadataSource

先写上spring-security.xml的配置文件；

在http标签中添加了：<custom-filter ref="securityFilter" before="FILTER_SECURITY_INTERCEPTOR"/>,用于地址的拦截

MySecurityFilter这个类是拦截中一个主要的类，拦截的时候会先通过这里：

MySecurityMetadataSource这个类是查找和匹配所有角色的资源对应关系的，通过访问一个资源，可以得到这个资源的角色，返货给下一个类MyAccessDecisionManager去判断是够可以放行通过验证。

MyAccessDecisionManager这个类，就是获取到请求资源的角色后判断用户是否有这个权限可以访问这个资源。如果获取到的角色是null，那就放行通过，这主要是对于那些不需要验证的公共可以访问的方法。就不需要权限了。可以直接访问。

dao的数据库的查找的代码就补贴出来了。

security的权限控制小总结

首先用户没有登录的时候可以访问一些公共的资源，但是必须把<intercept-url pattern="/**" access="hasRole('ROLE_USER')" requires-channel="any"/>  配置删掉，不拦截，任何资源都可以访问，这样公共资源可以任意访问。

对于需要权限的资源已经在数据库配置，如果去访问会直接跳到登录界面。需要登录。

根据登录用户不同分配到的角色就不一样，根据角色不同来获取该角色可以访问的资源。

拥有ROLE_USER角色用户去访问ROLE_ADMIN的资源会返回到403.jsp页面。拥有ROLE_USER和ROLE_ADMIN角色的用户可以去访问两种角色的资源。公共的资源两种角色都可以访问。

security提供了默认的登出地址。登出后用户在spring中的缓存就清除了。

之前做过基于spring-AOP的url和角色的控制，那时候觉得还不错，能做一些简单的权限控制。学习完security发现security真的是很专业啊。能做复杂的权限控制，还只支持页面上的权限控制。