Spring Security 3.1深度解析：配置与实战

"这篇文档是关于Spring Security 3.1的高级详细开发指南，通过两种示例介绍如何使用这一安全框架。文档涵盖了从完全依赖XML配置到结合数据库存储用户、角色和权限的不同方法。作者提供了详细配置注释和程序执行过程的解释，尤其关注了自定义过滤器和核心组件的实现。" Spring Security是一个广泛使用的Java安全框架，它提供了丰富的功能来保护Web应用程序。在Spring Security 3.1版本中，有四种主要的使用方法： 1. **全XML配置**：所有用户、权限和资源都直接在XML配置文件中硬编码。这种方法适合小型项目，但随着项目的增长，维护大量硬编码数据会变得困难。 2. **数据库存储用户与权限**：用户和权限信息存储在数据库中，但资源与权限的映射仍然在XML中硬编码。这种方式增加了灵活性，但仍有改进的空间。 3. **数据库存储全部**：用户、角色、权限以及资源全部通过数据库管理，并且自定义过滤器替换默认的`FilterSecurityInterceptor`。同时实现`AccessDecisionManager`、`InvocationSecurityMetadataSourceService`和`UserDetailsService`，以实现更细粒度的控制。这种方法允许更高的定制化和可扩展性。 4. **修改源代码**：尽管不推荐，但理论上可以通过修改Spring Security的源代码，特别是`InvocationSecurityMetadataSourceService`和`UserDetailsService`，以适应特定的需求。这种方法虽然提供了最大的灵活性，但也可能导致与后续版本的兼容性问题。 文档中提供的简单例子展示了如何通过XML配置实现基本的Spring Security保护，而复杂例子则结合了数据库存储和自定义组件，展示了更复杂的配置和流程。在设置过程中，作者指导读者如何创建Web工程，导入必要的库，以及修改`web.xml`配置文件以启动Spring Security。 在复杂例子中，用户和权限的管理与资源的映射都得到了动态处理，这使得系统能够根据数据库中的信息动态调整安全策略。自定义的`FilterSecurityInterceptor`和实现的接口允许更精确地控制访问决策和资源元数据，使得系统能够适应复杂的权限需求。 这个文档深入探讨了Spring Security 3.1的高级使用，不仅提供了实例代码，还解释了配置细节和程序执行流程，对于希望深入了解和定制Spring Security的开发者来说是一份宝贵的资源。