先来谈一谈Acegi的基础知识，Acegi的架构比较复杂，但是我希望我下面的只言片语能够把它说清楚。大家都知道，如果要对Web资源进行保护，最好的办法莫过于Filter，要想对方法调用进行保护，最好的办法莫过于AOP。Acegi对Web资源的保护，就是靠Filter实现的。如下图：  一般来说，我们的Filter都是配置在web.xml中，但是Acegi不一样，它在web.xml中配置的只是

最近项目开发中有这样一个业务逻辑，一个登陆画面，根据不同权限跳转到不同的画面(Action)  开始的做法是直接跳到一个调度的Action，再由这个Action去分配。  这次开发使用了安全框架，遂希望通过安全框架去做这个调度  于是使用authentication-success-handler-ref  来替换default-target-url和always-use-default-

如果只是想从页面上显示当前登陆的用户名，可以直接使用Spring Security提供的taglib。 username : 如果想在程序中获得当前登陆用户对应的对象。 UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext() .getAuthentication()

用户名和密码被放到UsernamePasswordAuthenticationToken中， －（GrantedAuthority，反应，在应用程序范围你，赋予主体的权限。将取得用户权限，并放入token中） 把token放入AuthenticationManager中进行验证，成功则返回一个 带有用户名，密码和权限列表的完整信息的Authentication。 －（UserDetai

前言     南朝《述异记》中记载，晋王质上山砍柴，见二童子下棋，未看完，斧柄已烂，下山回村，闻同代人都去世了，自已还未变老。     因此发出“山中方一日，世上几千年” 的慨叹。原文寥寥几笔，读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云：双双瓦雀行书案，点点杨花入砚池。闲坐小窗读周易，不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感

工作需要，又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式，但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀，感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上，并没有对其底层进行了解，新到现在的公司后，发现这一课还是得补上。但是令人惊讶的是，目前可用的选择并不多，甚至很少，最有名的当属spring secur

刚才想发到论坛来的.. 结果使用的是chrome打完字没注意就点了发布.. T_T.       最近项目中要使用到spring-security，闲来没事就研究了下。发现入门挺简单的，在这里把自己的心得发下，希望对没有接触过想接触的朋友有帮助。  1、在spring-security官网下载最新jar然后拷贝jar到项目的lib下。  2、在classpath下添加security配

setupUser.properties:foufa=foufapassword,ROLE_USER,ROLE_ADMIN,enabled. but he did just consider the first one ! answer:It was an order problem like you said.

这几天学习了一下Spring Security3.1，从官网下载了Spring Security3.1版本进行练习，经过多次尝试才摸清了其中的一些原理。本人不才，希望能帮助大家。还有，这次我第二次写博客啊，文体不是很行。希望能让观看者不产生疲惫的感觉，我已经心满意足了。 一、数据库结构      先来看一下数据库结构，采用的是基于角色-资源-用户的权限管理设计。(MySql数据库)

The Grails Spring Security plugin totally rocks. Even though Peter wrote a fantastic chapter on it for Grails in Action, I’ve always been a bit scared of it (based on some early bad experiences with