記錄一下配置文件中的配置介紹
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:sec="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd"
default-lazy-init="true">
<!--
auto-config = true 則使用from-login. 如果不使用該屬性 則默認為http-basic(沒有session).
lowercase-comparisons:表示URL比較前先轉為小寫。
path-type:表示使用Apache Ant的匹配模式。
access-denied-page:訪問拒絕時轉向的頁面。
access-decision-manager-ref:指定了自定義的訪問策略管理器。當系統角色名的前綴不是默認的ROLE_時,需要自定義訪問策略管理器。
-->
<sec:http auto-config="true" servlet-api-provision="false" lowercase-comparisons="false"
access-denied-page="/html/error_page_access_denied.html" path-type="ant"
access-decision-manager-ref="accessDecisionManager">
<!--
login-page:指定登錄頁面。
login-processing-url:指定了客戶在登錄頁面中按下 Sign In 按鈕時要訪問的 URL。與登錄頁面form的action一致。其默認值為:/j_spring_security_check。
authentication-failure-url:指定了身份驗證失敗時跳轉到的頁面。
default-target-url:指定了成功進行身份驗證和授權后默認呈現給用戶的頁面。
always-use-default-target:指定了是否在身份驗證通過后總是跳轉到default-target-url屬性指定的URL。
-->
<sec:form-login login-page="/admin/page!login.action" login-processing-url="/admin/login"
default-target-url="/admin/page!main.action" authentication-failure-url="/admin/page!login.action"
always-use-default-target="true" />
<!-- "記住我"功能,采用持久化策略(將用戶的登錄信息存放在數據庫表中) -->
<sec:remember-me key="e37f8888-0ooo-22dd-bd0b-9900211c9a66" />
<!--
logout-url:指定了用于響應退出系統請求的URL。其默認值為:/j_spring_security_logout。
logout-success-url:退出系統后轉向的URL。
invalidate-session:指定在退出系統時是否要銷毀Session。
-->
<sec:logout invalidate-session="true" logout-success-url="/admin/page!login.action"
logout-url="/admin/logout" />
<!--
max-sessions:允許用戶帳號登錄的次數。范例限制用戶只能登錄一次。
exception-if-maximum-exceeded: 默認為false,此值表示:用戶第二次登錄時,前一次的登錄信息都被清空。
當exception-if-maximum-exceeded="true"時系統會拒絕第二次登錄。
-->
<sec:concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false" />
<!-- 后臺登錄 -->
<!-- intercept-url:攔截器,可以設定哪些路徑需要哪些權限來訪問. filters=none 不使用過濾,也可以理解為忽略 -->
<sec:intercept-url pattern="/admin/page!login.action" filters="none" />
<!-- 商品管理 -->
<sec:intercept-url pattern="/admin/goods!**" access="ROLE_GOODS" />
<!-- 基礎管理權限 -->
<sec:intercept-url pattern="/admin/**" access="ROLE_BASE" />
<!--
下面是對Struts2的Action請求時的配置。注意在前面加/,否則不會被攔截驗證。
表示具有訪問/unitsManager資源的用戶必須具有ROLE_PLATFORMADMIN的權限。
當用戶登錄時,將用戶的所有權限從數據庫中提取出來,形成列表。 當用戶訪問該資源時,
將登錄用戶的權限列表提出來跟下面配置的權限進行比對,若有,則允許訪問,若沒有,
則給出AccessDeniedException。
-->
<sec:intercept-url pattern="/unitsManager" access="ROLE_PLATFORMADMIN" />
<sec:intercept-url pattern="/usersManager" access="ROLE_PLATFORMADMIN" />
<sec:intercept-url pattern="/horizontalQuery" access="ROLE_PLATFORMADMIN" />
<sec:intercept-url pattern="/verticalQuery" access="ROLE_PLATFORMADMIN" />
</sec:http>
<sec:authentication-provider user-service-ref="adminDetailsServiceImpl">
<sec:password-encoder hash="md5" />
</sec:authentication-provider>
</beans>