Elim的博客

首先我们为Spring Security专门建立一个Spring的配置文件，该文件就专门用来作为Spring Security的配置。使用Spring Security我们需要引入Spring Security的NameSpace。beans xmlns="http://www.springframework.org/schema/beans"  xmlns:security="http://ww

本文主要介绍如何实现Spring Security的登出（logout）功能。

对于匿名访问的用户，Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中，这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断SecurityContextHolder中持有的Authentication对象是否为null了，而直接把它当做一个正常的Authentication进行使用就OK了。

本文主要介绍Spring Security的Remember-Me机制，以及如何通过配置实现“记住我”功能。

Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。 1.1     检测session超时       Spring Security可以在用户使用已经超时的sessionId进行请求时将用户引导到指定的页面。这个可以通过如下配置来实现。         ...            "/session_time

本文主要对Spring Security进行权限鉴定的机制、使用到的一些核心的类进行介绍。

本文主要介绍Spring Security进行权限鉴定的核心逻辑。并以基于角色投票的权限鉴定为例，介绍其实现，并介绍了角色的继承。

本文主要介绍在Spring Security中如何定义基于Spring EL表达式的权限控制，以及基于方法级别的权限控制如何做。

本文主要介绍Spring Security进行方法级别的权限控制的几种手段。包括使用intercept-methods、使用Pointcut、使用JSR-250注解、使用Spring自身定义的@Secured注解、使用支持表达式的注解等，以及在进行方法级别的权限控制时会使用到的一些Advice。

Spring Security的底层是通过一系列的Filter来管理的，每个Filter都有其自身的功能，而且各个Filter在功能上还有关联关系，本文主要描述Spring Security是如何通过一系列的Filter来实现它的核心功能的，Spring Security中已经定义了哪些内置的Filter，作用是什么，以及如何添加自定义的Filter到已有的Filter链中。

Spring Security介绍系列文章。本文主要介绍如何通过intercept-url配置来实现对特定的URL进行拦截，包括指定访问权限、指定访问协议、指定请求方法

认证简介1.1     认证过程       1、用户使用用户名和密码进行登录。       2、Spring Security将获取到的用户名和密码封装成一个实现了Authentication接口的UsernamePasswordAuthenticationToken。       3、将上述产生的token对象传递给AuthenticationManager进行登录认证。       4、Au

异常信息本地化        Spring Security支持将展现给终端用户看的异常信息本地化，这些信息包括认证失败、访问被拒绝等。而对于展现给开发者看的异常信息和日志信息（如配置错误）则是不能够进行本地化的，它们是以英文硬编码在Spring Security的代码中的。在Spring-Security-core-xxx.jar包的org.springframework.security包下拥

从AuthenticationProvider介绍Spring Security的认证机制，并介绍如何使用数据库的用户信息、权限信息等对用户进行认证。

Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类，CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时，其首先会从缓存中获取，如果缓存中没有对应的UserDetails存在，则使用持有的UserD

关于登录1.1     form-login元素介绍       http元素下的form-login元素是用来定义表单登录信息的。当我们什么属性都不指定的时候Spring Security会为我们生成一个默认的登录页面。如果不想使用默认的登录页面，我们可以指定自己的登录页面。 1.1.1   使用自定义登录页面       自定义登录页面是通过login-page属性来指定的。提到login-p

核心类简介 1.1     Authentication       Authentication是一个接口，用来表示用户认证信息的，在用户登录认证之前相关信息会封装为一个Authentication具体实现类的对象，在登录认证成功之后又会生成一个信息更全面，包含用户权限等信息的Authentication对象，然后把它保存在SecurityContextHolder所持有的SecurityCon

Acl的全称是Access Control List，俗称访问控制列表，是用以控制对象的访问权限的。其主要思想是将某个对象的某种权限授予给某个用户，或某种GrantedAuthority（可以简单的理解为某种角色），它们之间的关系都是多对多。如果某一个对象的某一操作是受保护的，那么在对该对象进行某种操作时就需要有对应的权限。 1.1     准备工作       使用Spring Security

众所周知，Cas是对单点登录的一种实现。本文假设读者已经了解了Cas的原理及其使用，这些内容在本文将不会讨论。Cas有Server端和Client端，Client端通常对应着我们自己的应用，Spring Security整合Cas指的就是在Spring Security应用中整合Cas Client，已达到使用Cas Server实现单点登录和登出的效果。本文旨在描述如何在Spring Secur

本文主要介绍Spring Security对JSP标签的支持。