spring security 的几个细节

<intercept-url pattern="/" access="permitAll"/>
<http pattern="/aboutus/**/*" security="none"/>
注意，permitAll和none是有区别的，permitAll指所有登录和未登录人员都可以访问，这个设置是需要经过security filter的，而none也指所有人员都可以访问，但不会经过sec filter。这个设置在一些地方会有影响，比如，要在不必授权的页面获取当前已登录用户的principal，这个时候，设置none肯定是获取不到，应该用permitAll。参考文章：

[url]
http://stackoverflow.com/questions/7391735/difference-between-access-permitall-and-filters-none
[/url]

在页面获取principal的信息，如果扩展了userdetails，也是可以获取得到的，例如<security:authentication property="principal.username" />是固有的属性，如果你扩展了userDetails，比如有一个getPhone属性，也可以<security:authentication property="principal.phone" />来获取。参考：

[url]
http://stackoverflow.com/questions/4951984/get-custom-property-of-user-principal
[/url]

对于未登录用户，spring sec会将用户重定向到login页面，那么，如果要让用户签权后，重定向到之前访问的页面怎么办？有个设置要设，always-use-default-target＝false，设置成false。参考：

[url]
http://stackoverflow.com/questions/9267809/spring-mvc-and-login-redirect
[/url]

在页面上判断用户是否已经登录，可以用<sec:authorize access="isAuthenticated()"> ，参考：

[url]
http://stackoverflow.com/questions/9048995/get-spring-security-principal-in-jsp-el-expression
[/url]

spring sec中有匿名用户的概念，可以参考：

[url]
http://stackoverflow.com/questions/9054401/spring-security-3-1-and-returning-anonymous-userdetails
[/url]