极客on之路

1，建一个web project，并导入所有需要的lib，这步就不多讲了。2，配置web.xml，使用Spring的机制装载：  xml version="1.0" encoding="UTF-8" ?>   web-app  version ="2.4"  xmlns ="http://java.sun.com/xml/ns/j2ee"      xmlns:xsi ="ht

目录1.1     Spring Security的AOP Advice思想1.2     AbstractSecurityInterceptor1.2.1    ConfigAttribute1.2.2    RunAsManager1.2.3    AfterInvocationManager        Spring Security的权限鉴定是由AccessD

1.1    权限       所有的Authentication实现类都保存了一个GrantedAuthority列表，其表示用户所具有的权限。GrantedAuthority是通过AuthenticationManager设置到Authentication对象中的，然后AccessDecisionManager将从Authentication中获取用户所具有的GrantedAuthorit

Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式，在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限，反之则无。Spring Security可用表达式对象的基类是SecurityExpressionRoot，其为我们提供了如下在使用Spring EL表达式对URL或方法进行权限控制时通用的内置表达式。

之前介绍的都是基于URL的权限控制，Spring Security同样支持对于方法的权限控制。可以通过intercept-methods对某个bean下面的方法进行权限控制，也可以通过pointcut对整个Service层的方法进行统一的权限控制，还可以通过注解定义对单独的某一个方法进行权限控制。 1.1     intercept-methods定义方法权限控制       inte

Spring Security也有对Jsp标签的支持的标签库。其中一共定义了三个标签：authorize、authentication和accesscontrollist。其中authentication标签是用来代表当前Authentication对象的，我们可以利用它来展示当前Authentication对象的相关信息。另外两个标签是用于权限控制的，可以利用它们来包裹需要保护的内容，通常是超链

目录1.1           配置登录认证1.1.1     配置AuthenticationEntryPoint1.1.2     配置CasAuthenticationFilter1.1.3     配置AuthenticationManager1.2           单点登出1.3           使用代理1.3.1     代理端1.3.2    

AbstractAccessDecisionManager.accessDenied = 不允许访问 AbstractSecurityInterceptor.authenticationNotFound = 未在SecurityContext中查找到认证对象 AbstractUserDetailsAuthenticationProvider.badCredentials = 坏的凭证 

3.2.0.RELEASE org.springframework.security spring-security-web ${org.springframework.security.version} org.springframework.security spring-security-config ${org.spring

1：如果在jsp页面中获取可以使用spring security的标签库       在页面中引入标签  1@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>      然后：

spring-security 在jsp中的标签库1.在jsp中声明[html] view plain copy%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>  2.标签目前共有三个标签   [html] 

Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。 1.1     检测session超时       Spring Security可以在用户使用已经超时的sessionId进行请求时将用户引导到指定的页面。这个可以通过如下配置来实现。         ...            

1.1     概述1.2     基于简单加密token的方法1.3     基于持久化token的方法1.4     Remember-Me相关接口和实现类1.4.1    TokenBasedRememberMeServices1.4.2    PersistentTokenBasedRememberMeServices 1.1          概述    

对于匿名访问的用户，Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中，这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断SecurityContextHolder中持有的Authentication对象是否为null了，而直接把它当做一个正常的Authentic

1.Spring Security简要介绍Spring Security以前叫做acegi，是后来才成为Spring的一个子项目，也是目前最为流行的一个安全权限管理框架，它与Spring紧密结合在一起。Spring Security关注的重点是在企业应用安全层为您提供服务，你将发现业务问题领域存在着各式各样的需求。银行系统跟电子商务应用就有很大的不同。电子商务系统与企业销售自动化工

首先我们为Spring Security专门建立一个Spring的配置文件，该文件就专门用来作为Spring Security的配置。使用Spring Security我们需要引入Spring Security的NameSpace。beans xmlns="http://www.springframework.org/schema/beans"  xmlns:security="http:

关于登录目录1.1     form-login元素介绍1.1.1    使用自定义登录页面1.1.2    指定登录后的页面1.1.3    指定登录失败后的页面1.2     http-basic 1.1     form-login元素介绍       http元素下的form-login元素是用来定义表单登录信息的。当我们什么属性都不指定的时候Sprin

核心类简介目录1.1     Authentication1.2     SecurityContextHolder1.3     AuthenticationManager和AuthenticationProvider1.3.1    认证成功后清除凭证1.4     UserDetailsService1.4.1    JdbcDaoImpl1.4.2    I

认证简介目录1.1     认证过程1.2     Web应用的认证过程1.2.1    ExceptionTranslationFilter1.2.2    在request之间共享SecurityContext 1.1     认证过程       1、用户使用用户名和密码进行登录。       2、Spring Security将获取到的用户名和密码封装成

异常信息本地化        Spring Security支持将展现给终端用户看的异常信息本地化，这些信息包括认证失败、访问被拒绝等。而对于展现给开发者看的异常信息和日志信息（如配置错误）则是不能够进行本地化的，它们是以英文硬编码在Spring Security的代码中的。在Spring-Security-core-xxx.jar包的org.springframework.securit

AuthenticationProvider目录1.1     用户信息从数据库获取1.1.1    使用jdbc-user-service获取1.1.2    直接使用JdbcDaoImpl1.2     PasswordEncoder1.2.1    使用内置的PasswordEncoder1.2.2    使用自定义的PasswordEncoder    

Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类，CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时，其首先会从缓存中获取，如果缓存中没有对应的UserDetails存在，则使用持有的UserD

intercept-url配置目录1.1     指定拦截的url1.2     指定访问权限1.3     指定访问协议1.4     指定请求方法 1.1    指定拦截的url       通过pattern指定当前intercept-url定义应当作用于哪些url。"/**" access="ROLE_USER"/> 1.2     指定访问权限

目录1.1     Filter顺序1.2     添加Filter到FilterChain1.3     DelegatingFilterProxy1.4     FilterChainProxy1.5     Spring Security定义好的核心Filter1.5.1    FilterSecurityInterceptor1.5.2    Exception

要实现退出登录的功能我们需要在http元素下定义logout元素，这样Spring Security将自动为我们添加用于处理退出登录的过滤器LogoutFilter到FilterChain。当我们指定了http元素的auto-config属性为true时logout定义是会自动配置的，此时我们默认退出登录的URL为“/j_spring_security_logout”，可以通过logout元素的l

首先看remember-me的写法：security:remember-me key="elim" user-service-ref="userDetailsService"/>在扩展一下：这行配置所在的位置：security:http auto-config="true">      security:form-login/>      定义记住我功能，通过user-