Spring Security入门

1.新建一个web项目，并加入以下依赖库
[quote]
*SPRING_HOME/dist/spring.jar
*spring-security-2.0.5/dist/spring-security-acl-2.0.5.RELEASE.jar
*spring-security-2.0.5/dist/spring-security-core-2.0.5.RELEASE.jar
*spring-security-2.0.5/dist/spring-security-taglibs-2.0.5.RELEASE.jar
[/quote]

2.配置过滤器
为了在项目中使用Spring Security控制权限，首先要在web.xml中配置过滤器，这样我们就可以控制对这个项目的每个请求了。

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

所有的用户在访问项目之前，都要先通过Spring Security的检测，这从第一时间把没有授权的请求排除在系统之外，保证系统资源的安全。

3.在项目的src目录下建立一个applicationContext.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:beans="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
    http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd">
	<!-- http配置如何拦截用户请求。将auto-config设为'true'将自动配置几种常用的权限控制机制，包括form, anonymous, rememberMe。 -->
	<beans:http auto-config="true">
		<!-- 我们利用intercept-url来判断用户需要具有何种权限才能访问对应的url资源，
		     可以在pattern中指定一个特定的url资源，也可以使用通配符指定一组类似的url资源。
		     例子中定义的两个intercepter-url，第一个用来控制对/admin.jsp的访问，
		     第二个使用了通配符/**，说明它将控制对系统中所有url资源的访问。

			在实际使用中，Spring Security采用的是一种就近原则，
			就是说当用户访问的url资源满足多个intercepter-url时，
			系统将使用第一个符合条件的intercept-url进行权限控制。
			在我们这个例子中就是，当用户访问/admin.jsp时，
			虽然两个intercept-url都满足要求，
			但因为第一个intercept-url排在上面，
			所以Spring Security会使用第一个intercept-url中的配置处理对/admin.jsp的请求，
			也就是说，只有那些拥有了ROLE_ADMIN权限的用户才能访问/admin.jsp。 -->
		<beans:intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
		<beans:intercept-url pattern="/**" access="ROLE_USER" />
	</beans:http>
	<beans:authentication-provider>
	<!-- user-service中定义了两个用户，admin和user,
	重要的部分是authorities，这里定义了这个用户登陆之后将会拥有的权限，
	它与上面intercept-url中定义的权限内容一一对应。每个用户可以同时拥有多个权限，
	例子中的admin用户就拥有ROLE_ADMIN和ROLE_USER两种权限，
	这使得admin用户在登陆之后可以访问ROLE_ADMIN和ROLE_USER允许访问的所有资源。 

	与之对应的是，user用户就只拥有ROLE_USER权限，所以他只能访问ROLE_USER允许访问的资源，
	而不能访问ROLE_ADMIN允许访问的资源。-->
		<beans:user-service>
			<beans:user name="admin" password="admin"
				authorities="ROLE_USER,ROLE_ADMIN" />
			<beans:user name="user" password="user"
				authorities="ROLE_USER" />
		</beans:user-service>
	</beans:authentication-provider>
</beans>

4.在webroot目录下创建两个文件：admin.jsp和index.jsp
admin.jsp:

admin.jsp

index.jsp

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
<div>username : <sec:authentication property="name"/></div>
<hr>
<a href="admin.jsp">admin.jsp</a>
<a href="j_spring_security_logout">logout</a>

5.完善整个项目
因为Spring Security是建立在Spring的基础之上的，所以web.xml中除了需要配置我们刚刚提到的过滤器，还要加上加载Spring的相关配置。最终得到的web.xml看起来像是这样：

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
	http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>
			classpath:config/applicationContext*.xml
		</param-value>
	</context-param>
	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>
			org.springframework.web.filter.DelegatingFilterProxy
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	<listener>
		<listener-class>
			org.springframework.web.context.ContextLoaderListener
		</listener-class>
	</listener>
</web-app>

6.发布运行即可看到效果