每一名出色的架构师，必定是一位优秀程序员

一 概要Spring Security，这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案，同时在 Web 请求级和方法调用级处理身份确认和授权。如何使用spring security，总共有四种用法，从简到深为：1、不用数据库，全部数据写在配置文件，这个也是官方文档里面的demo；2、使用数据库，根据spring securi

在之前的实战四中一笔带过式的讲了下RememberMe记住密码的功能，那篇的Remember功能是最简易的配置，其功能和安全性都不强。这里就配置下security中RememberMe的各种方式。本人也是在学习中，若有错误，欢迎指正，一起学习。一 概述RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证，通俗的来说就是用户登陆成功认证一次之后在制定的一

在之前的几篇security教程中，资源和所对应的权限都是在xml中进行配置的，也就在http标签中配置intercept-url，试想要是配置的对象不多，那还好，但是平常实际开发中都往往是非常多的资源和权限对应，而且写在配置文件里面写改起来还得该源码配置文件，这显然是不好的。因此接下来，将用数据库管理资源和权限的对应关系。数据库还是接着之前的，用mysql数据库，因此也不用另外引入额外的jar包

在前面三个实战中，登陆页面都是用的Spring Security自己提供的，这明显不符合实际开发场景，同时也没有退出和注销按钮，因此在每次测试的时候都要通过关闭浏览器来注销达到清除session的效果。一 自定义页面login.jsp: --%> 登陆 登陆失败 ${session

Spring Security实战(二)中讲解了用Spring Security自带的默认数据库存储用户和权限的数据，但是Spring Security默认提供的表结构太过简单了，其实就算默认提供的表结构很复杂，也不一定能满足项目对用户信息和权限信息管理的要求。那么接下来就讲解如何自定义数据库实现对用户信息和权限信息的管理。一 自定义表结构这里还是用的mysql数据库，所以pom.xml文

在Spring Security实战(一)，我把用户信息和权限信息放到了xml文件中，这是为了演示如何使用最小的配置就可以使用Spring Security，而实际开发中，用户信息和权限信息通常是被保存在数据库中的，为此Spring Security也提供了通过数据库获得用户权限信息的方式。本教程将讲解使用数据库管理用户权限。一 引入相关的jar包这个用的是mysql数据库和druid

这里主要的是配置自定义认证处理的过滤器，并加入到FilterChain的过程。在我们自己不在xml做特殊的配置情况下，security默认的做认证处理的过滤器为UsernamePasswordAuthenticationFilter。通过查看源码知道，做认证处理的方法为attemptAuthentication，这个方法的主要作用就是将用户输入的账号和密码，封装成一个UsernamePasswordAuthenticationToken对象，然后通过setDetails方法将这个对象储存起来......