毅君帅

编写Spring配置文件，其中包括“spring-mybatis.xml”、“spring-security.xml”和“spring-mvc.xml”。导入Spring Security所需jar包。导入Jstl和Json所需jar包。导入Spring所需依赖jar包。导入日志和测试所需jar包。

编写实现“UserDetailService.java”接口实现类：在该类中的用户类“User”需要新建对象，其与配置文件中：在配置文件“spring-security.xml”配置文件中添加自定义登录实现类的配置：

当输入正确的用户名称和密码后，点击无访问权限的服务连接：创建无权限访问提示页面：在工程的类“CommonController.java”中创建无权限访问控制方法：在配置文件“spring-security.xml”配置文件中添加无权限访问配置：启动服务器并使用部分权限用户进行登录验证：点击登录按钮提交后：

启动服务并测试：填写正确的用户名和密码然后点击登录按钮，会出现如下的页面：此时是因为登录成功后页面跳转至工程服务的根目录的原因，此时需要在配置文件“spring-security.xml”配置文件中添加登录成功后访问资源路径配置：启动服务并测试：

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。出现CSRF跨站请求禁止。

在工程的“page”文件夹下新建“login.jsp”登录页面：在工程的控制器类中添加跳转至登录页面的控制器方法：在配置文件“spring-security.xml”中添加登录页面访问配置：

的认证方式需要修改配置文件“

Spring容器无法管理JavaEE容器中的实例，所以将代理过滤器定义在JavaEE容器中并通过该代理过滤器将所有请求委托给Spring容器中的过滤器。”是过滤器链最后一环，决定请求最终能否访问目标资源服务。2：表单登录和HttpBasic只是其中一种过滤方式；3：HttpBasic过滤方式在表单登录之后；1：整个过滤器链由很多过滤器组成；5：根据认证失败原因由过滤器“对于拦截资源的配置使用“注：以上配置为使用“

编写Spring配置文件，其中包括“applicationContext.xml”、“spring-security.xml”和“spring-mvc.xml”。其中包括两个配置文件的设置：applicationContext.xml和spring-security.xml。”，版本可以为“4.3.10.RELEASE”。2：Spring Security所需jar包。2：启动Spring MVC配置服务。1：Spring的基础jar包。1：启动Spring容器服务。

Spring Security是基于Spring AOP和Servlet过滤器的安全服务框架。1：基于Spring框架基础上使用；2：主要应用领域是“认证”和“授权”（即访问控制）；3：在Web请求级和方法调用级处理身份确认和授权。