摘要：上一篇说明了security 是如何加载资源和权限列表的，今天这篇差不多该结束了，开始说明当用户请求一个url的时候，security是如何根据你的登陆用户 和资源权限列表去决策你是否有权限访问你的url的。 首先你登陆完成之后，security会记录你的用户名以及其他一些信息，其中包括你所具有的权限，当你访问一个url的时候，security会根据你的url地址找到访问它所需要的权限列表，然后进行决策。 如何构建你自定义的决策类? 新建一个类实现AccessDecisionManager接口，应该是这个样子： View Code package cn.com.xinma.frame.ser. 阅读全文

摘要：上一篇记录了自定义验证的第一步，替换登陆验证。so easy~ 第二步，开始获取资源文件和权限的对应关系，上面一篇忘了说 一个自定义的filter，必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性。 authenticationManager=用户权限获得(就是上一篇讲的) securityMetadataSource= 资源和权限列表(这篇要讲的) accessDecisionManager=访问决策器(下篇要讲的) 还有就是我会把具体实现先说明，最后讲怎么去配置，将这几个配合到一起应为配置. 阅读全文

摘要：如果你没有用过自定义的验证的话，你的资源和资源应该有的权限都应该还是在配置文件中配置的。类似这样：1. <http auto-config="true" lowercase-comparisons="false"> <intercept-url pattern="/images/**" filters="none"/> <intercept-url pattern="/styles/**" filters="none"/> <inte 阅读全文

摘要：首先假设你的security能正常的运行了,一般的配置都没问题的情况下，实现一个用户只能登陆一次，大概只需要两步。第一步 在你的web.xml中加入监听器 <listener> <listener-class> org.springframework.security.web.session.HttpSessionEventPublisher </listener-class> </listener>第二步 在security的配置文件中加入以下配置信息 <http auto-config='true' > <i 阅读全文

摘要：上一篇也是介绍security 关于密码方面的，后来文档提过，可以通过password-encoder的ref属性指定一个自定义的密码编码器bean。这应该包含application context中一个bean的名字，它应该是Spring Security的PasswordEncoder接口的一个实例。 这个实现总体分三步：1 、弄一个自己的加密类 这里给出java里的MD5加密算法，copy的。别的还有base64(好像jdk自己就有这个加密算法)package com.xinma.util;import java.security.MessageDigest;import java.s. 阅读全文

摘要：一般情况下，系统的用户密码都会经过一系列的加密才会存储到数据库或者别的资源文件。盐值加密：把你原来密码，加上一些“盐”然后再进行一些列的加密算法。 比如你的密码是：899312 用户名是：gaobing 在security 中盐值加密可以是这样加“盐”的899312{gaobing} 然后 ，在进行一些列的加密。上一篇日志中介绍了三种登陆设置，这边用数据库的那种作为例子：<authentication-manager> <authentication-provider user-service-ref='myUserDetailsService'> &l 阅读全文

摘要：security就是安全机制，安全就是访问权限的设置，最近自己看文档稍微整理了下用户登陆的配置。欢迎补充，谢绝口水。一： 最简单的你可以这么配置1 <authentication-manager> 2 <authentication-provider> 3 <user-service> 4 <user name="jimi" password="jimispassword" authorities="ROLE_USER, ROLE_ADMIN" /> 5 <user name=&q 阅读全文