在第二个实例基础上我做了第三个实例。第一、二个实例都只有一个角色(暂时不理解的可以跳过,后面我会讲到),这显然无法满足实际需求,这个实例中我增加了ROLE_ADMIN。
第三个实例:
增加一个admin.jsp页面:
<%@ page language="java"contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTDHTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type"content="text/html; charset=UTF-8">
<title>Admin 管理界面</title>
</head>
<body>
<p style="color:red">admin.jsp页面</p>
</body>
</html>
只有用ROLE_ADMIN的用户可以访问该页面。
修改applicationContext-security.xml:
<?xml version="1.0"encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:sec="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-2.0.4.xsd">
<sec:http auto-config="true">
<sec:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<sec:intercept-url pattern="/admin.jsp" access="ROLE_ADMIN"/>
<sec:intercept-url pattern="/**" access="ROLE_USER"/>
<sec:form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?login_error=1"/>
</sec:http>
<sec:authentication-provider>
<sec:user-service>
<!-- 添加ROLE_ADMIN角色 -->
<sec:user name="admin" password="admin"authorities="ROLE_USER,ROLE_ADMIN"/>
<sec:user name="sharp" password="sharp"authorities="ROLE_USER"/>
</sec:user-service>
</sec:authentication-provider>
<sec:authentication-manager alias="authenticationManager"/>
<!-- 指定中文资源。默认命名空间是security,所以要加前缀beans: -->
<bean id="messageSource"
class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
<property name="basename" value="classpath:org/springframework/security/messages_zh_CN"/>
</bean>
</beans>
这里我们设置用户名以admin登录的用户可以访问admin.jsp页面,以sharp等登录的用户则无法访问admin.jsp页面。具体效果请看源代码。