Spring Security學習總結(jié)一

在認識Spring Security之前，所有的權(quán)限驗證邏輯都混雜在業(yè)務(wù)邏輯中，用戶的每個操作以前可能都需要對用戶是否有進行該項 操作的權(quán)限進行判斷，來達到認證授權(quán)的目的。類似這樣的權(quán)限驗證邏輯代碼被分散在系統(tǒng)的許多地方，難以維護。AOP（Aspect Oriented Programming）和Spring Security為我們的應(yīng)用程序很好的解決了此類問題，正如系統(tǒng)日志，事務(wù)管理等這些系統(tǒng)級的服務(wù)一樣，我們應(yīng) 該將它作為系統(tǒng)一個單獨的”切面”進行管理，以達到業(yè)務(wù)邏輯與系統(tǒng)級的服務(wù)真正分離的目的，Spring Security將系統(tǒng)的安全邏輯 從業(yè)務(wù)中分離出來。

本文代碼運行環(huán)境：
 

JDK6.0

    spring-framework-2.5.4

    spring-security-2.0.0

    JavaEE5

Web容器：

Apache Tomcat6.0

IDE工具：

Eclipse3.3+MyEclipse6.5

操作系統(tǒng)：

Linux(Fedora 8)

    這只是我個人的學習總結(jié)而已，還請高手們指出本文的不足之處。

一  Spring Security 簡介

這里提到的Spring Security也就是被大家廣為熟悉的Acegi Security，2007年底Acegi Security正式成為Spring Portfolio項目，并更名為Spring Security。Spring Security是一個能夠為基于Spring的企業(yè)應(yīng)用系統(tǒng)提供描述性安全訪問控制解決方案的安全框架。 它提供了一組可以在Spring應(yīng)用上下文中配置的Bean，充分利用了Spring IoC（依賴注入，也稱控制反轉(zhuǎn)）和AOP（面向切面編程）功能，為應(yīng)用系統(tǒng)提供聲明式的安全訪問控制功能，減少了為企業(yè)系統(tǒng)安全控制編寫大量重復代碼的工作。

通過在許多項目中實踐應(yīng)用以及社區(qū)的貢獻，如今的Spring Security已經(jīng)成為Spring Framework下最成熟的安全系統(tǒng)，它為我們提供了強大而靈活的企業(yè)級安全服務(wù)，如：

Ø         認證授權(quán)機制

Ø         Web資源訪問控制

Ø         業(yè)務(wù)方法調(diào)用訪問控制

Ø         領(lǐng)域?qū)ο笤L問控制Access Control List（ACL）

Ø         單點登錄（Central Authentication Service）

Ø         X509認證

Ø         信道安全（Channel Security）管理等功能

當保護Web資源時，Spring Security使用Servlet 過濾器來攔截Http請求進行身份驗證并強制安全性，以 確保WEB資源被安全的訪問。如下圖是Spring Security的主要組件圖（摘自《Spring in Action》）：

圖1 Spring Security的基本組件

無論是保護WEB資源還是保護業(yè)務(wù)方法或者領(lǐng)域?qū)ο螅?/span>Spring Security都的通過上圖中的組件來完成 的。本文主要闡述如何使用Spring Security對WEB應(yīng)用程序的資源進行安全訪問控制，并通過一個簡單的 實例來對Spring Security提供的各種過濾器的功能和配置方法進行描述。

二  保護Web資源

Spring Security提供了很多的過濾器，它們攔截Servlet請求，并將這些請求轉(zhuǎn)交給認證處理過濾器和訪問決策過濾器進行處理，并強制安全性，認證用戶身份和用戶權(quán)限以達到保護Web資源的目的。對于Web資源我們大約可以只用6個過濾器來保護我們的應(yīng)用系統(tǒng)，下表列出了這些安全過濾器的名稱作用以及它們在系統(tǒng)中的執(zhí)行順序：

接下來，通過一個實例來說明它們的具體使用方法和如何在Spring中進行配置。

1  建立Spring Security項目

首先在MyEclipse中創(chuàng)建一個Web Project，并使用MyEclipse工具導入Spring項目的依賴JAR包，并生成默認的，這里暫時不會用到這個文件，本文只是通過一個簡單的實例來說明如何配置使用Spring Security，不會涉及到數(shù)據(jù)庫，而是使用一個用戶屬性（users.properties）文件來保存用戶信息（包括用戶名，密碼及相應(yīng)的權(quán)限），但在實際的項目中，我們很少會這樣做，而是應(yīng)該把用戶信息存在數(shù)據(jù)庫中，下一篇文章中將會詳細介紹并用到這個文件來配置Hibernate，這里我們保留它。

現(xiàn)在還需要為項目導入Spring Security的JAR包，它沒有包括在Spring Framework中，你可以從http://www.springframework.org/download/下載，并將spring-security-core-2.0.0.jar（這是核心代碼庫）和spring-security-core-tiger-2.0.0.jar（和annotation有關(guān)的，比如使用注解對方法進行安全訪問控制,在下一篇中會用到）拷貝到項目的lib目錄下，其中也包括兩個實例（tutorial和contacts），并且兩個實例中都包括了如何使用Spring 2.0的命名空間來配置Spring Security，無論你對Spring 2.0命名空間的使用是否了解，它將使我們的配置文件大大縮短，簡化開發(fā)，提高生產(chǎn)效率。到此，我們的Spring Security項目就建好了，項目目錄結(jié)構(gòu)如下圖所示：

圖2 項目目錄結(jié)構(gòu)

2 配置web.xml

Spring Security使用一組過濾器鏈來對用戶進行身份驗證和授權(quán)。首先，在web.xml文件中添加FilterToBeanProxy過濾器配置：

org.springframework.security.util.FilterToBeanProxy實現(xiàn)了Filter接口，它通過調(diào)用WebapplicationContextUtils類的getWebApplicationnContext(servletContext)方法來獲取Spring的應(yīng)用上下文句柄，并通過getBean(beanName)方法來獲取Spring受管Bean的對象，即這里targetClass參數(shù)配置的Bean，并通過調(diào)用FilterChain
Proxy的init()方法來啟動Spring Security過濾器鏈進行各種身份驗證和授權(quán)服務(wù)（FilterChainProxy類也是實現(xiàn)了Filter接口），從而將過濾功能委托給Spring的FilterChainProxy受管Bean（它維護著一個處理驗證和授權(quán)的過濾器 列表，列表中的過濾器按照一定的順序執(zhí)行并完成認證過程），這樣即簡化了web.xml文件的配置，又能充分利用 Spring的IoC功能來完成這些過濾器執(zhí)行所需要的其它資源的注入。

當用戶發(fā)出請求，過濾器需要根據(jù)web.xml配置的請求映射地址來攔截用戶請求，這時Spring Security開始工作，它會驗證你的身份以及當前請求的資源是否與你擁有的權(quán)限相符，從而達到保護Web資源的功能，下面是本例所要過濾的用戶請求地址：

提示： /j_spring_security_check是Spring Security默認的進行表單驗證的過濾地址，你也可以修改為別的名稱，但是需要和 applicationContext-security.xml中相對應(yīng)，當然還會涉及到其它一些默認值（可能是一個成員變量，也可能是別的請 求地址），在下文我們將看到，建議你在閱讀此文的同時，應(yīng)該參照Spring Security項目的源代碼，便于你更好的理解。

3 配置applicationContext-security.xml

3.1 FilterChainProxy過濾器鏈

FilterChainProxy會按順序來調(diào)用一組filter,使這些filter即能完成驗證授權(quán)的本質(zhì)工作，又能享用Spring Ioc的功能來方便的得到其它依賴的資源。FilterChainProxy配置如下：

CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 定義URL在匹配之前必須先轉(zhuǎn)為小寫，PATTERN_TYPE_APACHE_ANT 定義了使用Apache ant的匹配模式，/**定義的將等號后面的過濾器應(yīng)用在那些URL上，這里使用全部URL過濾，每個過濾器之間都適用逗號分隔，它們按照一定的順序排列。

提示： 特別需要注意的是，即使你配置了系統(tǒng)提供的所有過濾器，這個過濾器鏈會很長，但是千萬不要使用換行，否則它們不會正常工作， 容器甚至不能正常啟動。

下面根據(jù)FilterChainProxy的配置來介紹各個過濾器的配置，各個過濾器的執(zhí)行順序如以上配置。

首先是通道處理過濾器，如果你需要使用HTTPS，這里我們就使用HTTP進行傳輸，所以不需要配置通道處理過濾器，然后是集成過濾器,配置如下：

httpSessionContextIntegrationFilter是集成過濾器的一個實現(xiàn)，在用戶的一個請求過程中，用戶的認證信息通過SecurityContextHolder（使用ThreadLoacl實現(xiàn)）進行傳遞的，所有的過濾器都是通過SecurityContextHolder來獲取用戶的認證信息，從而在一次請求中所有過濾器都能共享Authentication（認證），減少了HttpRequest參數(shù)的傳送，下面的代碼是從安全上下文的獲取Authentication對象的方法：

但是，ThreadLoacl不能跨越多個請求存在，所以，集成過濾器在請求開始時從Http會話中取出用戶認證信息并創(chuàng)建一個SecurityContextHolder將Authentication對象保存在其中，在請求結(jié)束之后，在從SecurityContextHolder中獲取Authentication對象并將其放回Http會話中，共下次請求使用，從而達到了跨越多個請求的目的。集成過濾器還有其它的實現(xiàn)，可以參考相關(guān)文檔。

提示： 集成過濾器必須在其它過濾器之前被使用。

logoutFilter（退出過濾器） ，退出登錄操作：

LogoutFilter的構(gòu)造函數(shù)需要兩個參數(shù)，第一個是退出系統(tǒng)后系統(tǒng)跳轉(zhuǎn)到的URL，第二個是一個LogoutHandler類型的數(shù)組，這個數(shù)組里的對象都實現(xiàn)了LogoutHandler接口，并實現(xiàn)了它的logout方法，用戶在發(fā)送退出請求后，會一次執(zhí)行LogoutHandler數(shù)組的對象并調(diào)用它們的 logout方法進行一些后續(xù)的清理操作，主要是從SecurityContextHolder對象中清楚所有用戶的認證信息（Authentication對象），將用戶的會話對象設(shè)為無效，這些都時由SecurityContextLogoutHandler來完成。LogoutFilter還會清除Cookie記錄，它由另外一個Bean來完成（RememberMeServices）。

<ref bean="rememberMeServices"/>標記指向了我們另外配置的一個Bean：

TokenBasedRememberMeServices繼承自系統(tǒng)的AbstractRememberMeServices抽象類(實現(xiàn)了RememberMeServices和 LogoutHandler兩個接口), RememberMeServices接口的loginSuccess方法負責在用戶成功登錄之后將用戶的認證信息存入Cookie中，這個類在后續(xù)的過濾器執(zhí)行過程中也會被用到。

另一個userDetailsService屬性也是指向了我們配置的Bean， 它負責從數(shù)據(jù)庫中讀取用戶的信息，這個類的詳細配置將在后面的部分詳細介紹，這里只是簡單的認識一下。

過濾器鏈的下個配置的過濾器是authenticationProcessingFilter（認證過程過濾器），我們使用它來處理表單認證,當接受到與filterProcessesUrl所定義相同的請求時它開始工作：

下面列出了認證過程過濾器配置中各個屬性的功能：

    1.authenticationManager     認證管理器

    2.authenticationFailureUrl 定義登錄失敗時轉(zhuǎn)向的頁面

    3.defaultTargetUrl         定義登錄成功時轉(zhuǎn)向的頁面

    4.filterProcessesUrl        定義登錄請求的地址（在web.xml中配置過）

    5.rememberMeServices        在驗證成功后添加cookie信息

這里也用到了rememberMeServices，如果用戶認證成功，將調(diào)用RememberMeServices的loginSuccess方法將用戶認證信息寫入Cookie中，這里也可以看到使用IoC的好處。

決定用戶是否有權(quán)限訪問受保護資源的第一步就是要確定用戶的身份，最常用的方式就是用戶提供一個用戶名和密碼以確認用戶的身份是否合法，這一步就是由認證過程過濾器調(diào)用authenticationManager（認證管理器）來完成的。org.springframework.security.AuthenticationManager接口定義了一個authenticate方法，它使用Authentication作為入口參數(shù)（只包含用戶名和密碼），并在驗證成功后返回一個完整的Authentication對象（包含用戶的權(quán)限信息GrantedAuthority數(shù)組對象），authenticationProcessingFilter（認證過程過濾器）會將這個完整的Authentication對象存入SecurityContext中,如果認證失敗會拋出一個AuthenticationException并跳轉(zhuǎn)到authenticationFailureUrl 定義的URL。認證管理其配置如下：

正如在配置中看到的一樣，系統(tǒng)使用org.springframework.security.providers.ProviderManager（提供者管理器）類作為認證管理器的一個實現(xiàn)，事實上這個類是繼承自實現(xiàn)了AuthenticationManager接口的 AbstractAuthenticationManager類。需要注意的是ProviderManager（提供者管理器）自己并不實現(xiàn)身份驗證，而是把這項工作交給了多個認證提供者（提供者集合）或者說的多個認證來源。

提示： Spring Security為我們提供的所有認證提供者實現(xiàn)都是org.springframework.security.providers .AuthenticationProvider 接口的實現(xiàn)類，它們都實現(xiàn)了此接口的authenticate方法，如果你正在看源代碼，會發(fā)現(xiàn)這個authenticate方法事實上和Authe nticationManager（認證管理器）接口的authenticate方法完全一樣。

providers屬性定義了提供者管理器的集合，ProviderManager（提供者管理器）逐一遍歷這個認證提供者的集合并調(diào)用提供者的authenticate方法，如果一個提供者認證失敗會嘗試另外一個提供者直到某一個認證提供者能夠成功的驗證該用戶的身份，以保證獲取不同來源的身份認證。下面表格列出了系統(tǒng)提供的一些認證提供者：

    從上面的表中可以看出，系統(tǒng)為我們提供了不同的認證提供者，每個認證提供者會對自己指定的證明信息進行認證，如DaoAuthenticationProvider僅對UsernamePasswordAuthenticationToken這個證明信息進行認證。

在實際項目中，用戶的身份和權(quán)限信息可能存儲在不同的安全系統(tǒng)中(如數(shù)據(jù)庫，LDAP服務(wù)器，CA中心)。
作為程序員，我們可以根據(jù)需要選擇不同的AuthenticationProvider（認證提供者）來對自己的系統(tǒng)提供認證 服務(wù)。

這里我們著重介紹DaoAuthenticationProvider，它從數(shù)據(jù)庫中讀取用戶信息驗證身份，配置如下：

還記得前面配置的RememberMeServices嗎？它也有一個和DaoAuthenticationProvider同樣的屬性userDetailsService，這是系統(tǒng)提供的一個接口（org.springframework.security.userdetails.UserDetailsService），在這里我們把它單獨提出來進行介紹。

首先我們需要了解Spring Security為我們提供的另外一個重要的組件，org.springframework.security.userdetails .UserDetails接口，它代表一個應(yīng)用系統(tǒng)的用戶，該接口定義與用戶安全信息相關(guān)的方法：

String getUsername()：獲取用戶名； 

String getPassword()：獲取密碼； 

boolean isAccountNonExpired()：用戶帳號是否過期； 

boolean isAccountNonLocked()：用戶帳號是否鎖定； 

boolean isCredentialsNonExpired()：用戶的憑證是否過期； 

boolean isEnabled()：用戶是否處于激活狀態(tài)。

當以上任何一個判斷用戶狀態(tài)的方法都返回false時，用戶憑證就被視為無效。UserDetails接口還定義了獲取用戶權(quán)限信息的getAuthorities()方法，該方法返回一個GrantedAuthority[]數(shù)組對象，GrantedAuthority是用戶權(quán)限信息對象，這個對象中定義了一個獲取用戶權(quán)限描述信息的getAuthority()方法。

UserDetails即可從數(shù)據(jù)庫中返回，也可以從其它如LDAP中返回，這取決與你的系統(tǒng)中使用什么來存儲用戶信息和權(quán)限以及相應(yīng)的認證提供者。這里我們只重點介紹DaoAuthenticationProvider(從數(shù)據(jù)庫中獲取用戶認證信息的提供者)，本人水平有限，在項目中還沒有機會用到其它提供者。說到這里，這個封裝了用戶詳細信息的UserDetails該從哪兒獲取呢？這就是我們接下來要介紹的UserDetailsService接口，這個接口中只定義了唯一的UserDetails loadUserByUsername(String username)方法，它通過用戶名來獲取整個UserDetails對
象。

看到這里你可能會有些糊涂，因為前面提到的Authentication對象中也存放了用戶的認證信息，需要注意Authentication對象才是Spring Security使用的進行安全訪問控制用戶信息安全對象。實際上，Authentication對象有未認證和已認證兩種狀態(tài)，在作為參數(shù)傳入認證管理器（AuthenticationManager）的authenticate方法時，是一個未認證的對象，它從客戶端獲取用戶的身份信息（如用戶名，密碼），可以是從一個登錄頁面，也可以從Cookie中獲取，并由系統(tǒng)自動構(gòu)造成一個Authentication對象。而這里提到的UserDetails代表一個用戶安全信息的源（從數(shù)據(jù)庫，LDAP服務(wù)器，CA中心返回），Spring Security要做的就是將這個未認證的Authentication對象和UserDetails進行匹配，成功后將UserDetails中的用戶權(quán)限信息拷貝到Authentication中組成一個完整的Authentication對象，共其它組件共享。

這樣，我們就可以在系統(tǒng)中獲取用戶的相關(guān)信息了，需要使用到Authentication對象定義的Object getPrincipal()方法，這個方法返回一個Object類型的對象，通常可以將它轉(zhuǎn)換為UserDetails，從而可以獲取用戶名，密碼以及權(quán)限等信息。代碼如下：

前面介紹了DaoAuthenticationProvider，它可以從數(shù)據(jù)庫中讀取用戶信息，同樣也可以從一個用戶屬性文件中讀取，下一篇文章中我們在介紹如何從數(shù)據(jù)庫中讀取用戶信息，當然還會涉及到更深入的東西，比如根據(jù)自己系統(tǒng)的需要自定義UserDetails和UserDetailsService，這個只是讓你對整個系統(tǒng)有個簡單的了解，所以我們使用用戶屬性文件(users.properties)來存儲用戶信息：

    配置userDetailsService：

InMemoryDaoImpl類是UserDetailsService接口的一個實現(xiàn)，它從屬性文件里讀取用戶信息，Spring Security使用一個屬性編輯器將用戶信息為我們組織成一個org.springframework.security.userdetails.memory.UserMap類的對象，我們也可以直接為它提供一個用戶權(quán)限信息的列表，詳見applicationContext-security.xml配置文件。

UserMap字符串的每一行都用鍵值對的形式表示，前面是用戶名，然后是等號，后面是賦予該用戶的密碼/權(quán)限等信息，它們使用逗號隔開。比如：

定義了一個名為admin的用戶登錄密碼為admin，該用戶擁有ROLE_SUPERVISOR權(quán)限，再如users.properties文件中配置的名為user3的用戶登錄密碼為user3，該用戶擁有ROLE_USER權(quán)限，disabled定義該用戶不可用，為被激活（UserDetails 的isEnabled方法）。

即使是系統(tǒng)的開發(fā)者或者說是最終用戶，都不應(yīng)該看到系統(tǒng)中有明文的密碼。所以，Spring Security考慮的還是很周到的，為我們提供的密碼加密的功能。正如你在Dao認證提供者（DaoAuthenticationProvider）中看到的，passwordEncoder屬性配置的就是一個密碼加密程序（密碼編碼器）。這里我們使用MD5加密，可以看
配置文件中的scott用戶，你還能看出他的密碼是什么嗎？當然這里只是演示功能，其它用戶還是沒有改變， 你可以自己試試。系統(tǒng)為我們提供了一些常用的密碼編碼器(這些編碼器都位于org.springframework.secu rity.providers.encoding包下)：

PlaintextPasswordEncoder（默認）——不對密碼進行編碼，直接返回未經(jīng)改變的密碼；

Md4PasswordEncoder ——對密碼進行消息摘要（MD4）編碼；

Md5PasswordEncoder ——對密碼進行消息摘要（MD5）編碼；

ShaPasswordEncoder ——對密碼進行安全哈希算法（SHA）編碼。

    你可以根據(jù)需要選擇合適的密碼編碼器，你也可以設(shè)置編碼器的種子源（salt source）。一個種子源為編碼提供種子（salt），或者稱編碼的密鑰，這里不再贅述。

這里附加介紹了不少東西，希望你還沒有忘記在AuthenticationManager（認證管理器）中還配置了一個名為sessionController的Bean，這個Bean可以阻止用戶在進行了一次成功登錄以后在進行一次成功的登錄。在 applicationContext-security.xml配置文件添加sessionController的配置：

maximumSessions屬性配置了只允許同一個用戶登錄系統(tǒng)一次，exceptionIfMaximumExceeded屬性配置了在進行第二次登錄是是否讓第一次登錄失效。這里設(shè)置為true不允許第二次登錄。要讓此功能生效，我們還 需要在web.xml文件中添加一個監(jiān)聽器，以讓Spring Security能獲取Session的生命周期事件，配置如下：

HttpSessionEventPublisher類實現(xiàn)javax.servlet.http.HttpSessionListener接口，在Session被創(chuàng)建的時候通過調(diào)用ApplicationContext的publishEvent(ApplicationEvent event)發(fā)布HttpSessionCreatedEvent類型的事件，HttpSessionCreatedEvent類繼承自org.springframework.context.ApplicationEvent類的子類 HttpSessionApplicationEvent抽象類。

concurrentSessionController使用sessionRegistry來完成對發(fā)布的Session的生命周期事件的處理，org.springframework.security.concurrent.SessionRegistryImpl（實現(xiàn)了SessionRegistry接口）, SessionRegistryImpl類還實現(xiàn)了Spring Framework 的事件監(jiān)聽org.springframework.context.Application Listener接口，并實現(xiàn)了該接口定義的onApplicationEvent(ApplicationEvent event)方法用于處理Applic ationEvent類型的事件，如果你了解Spring Framework的事件處理，那么這里你應(yīng)該可以很好的理解。

認證管理器到此介紹完畢了，認證過程過濾器也介紹完了，接下來我們繼續(xù)介紹過濾器鏈的下一個過濾器
securityContextHolderAwareRequestFilter：

這個過濾器使用裝飾模式（Decorate Model），裝飾的HttpServletRequest對象。其Wapper是ServletRequest包裝類HttpServletRequestWrapper的子類(如SavedRequestAwareWrapper或SecurityContextHolderAwareRequestWrapper)，附上獲取用戶權(quán)限信息，request參數(shù)，headers 和 cookies 的方法。

rememberMeProcessingFilter過濾器配置：

<bean id="rememberMeProcessingFilter"

    class="org.springframework.security.ui.rememberme.RememberMeProcessingFilter"

    p:authenticationManager-ref="authenticationManager"

    p:rememberMeServices-ref="rememberMeServices"/>

當SecurityContextHolder中不存在Authentication用戶授權(quán)信息時，rememberMeProcessingFilter就會調(diào)用rememberMeServices 的autoLogin()方法從cookie中獲取用戶信息自動登錄。

anonymousProcessingFilter過濾器配置：

如果不存在任何授權(quán)信息時，自動添加匿名用戶身份至SecurityContextHolder中，就是這里配置的userAttribute，系統(tǒng)為用戶分配一個ROLE_ANONYMOUS權(quán)限。

exceptionTranslationFilter（異常處理過濾器）,該過濾器用來處理在系統(tǒng)認證授權(quán)過程中拋出的異常,主要是處理AccessDeniedException和AuthenticationException兩個異常并根據(jù)配置跳轉(zhuǎn)到不同URL：

accessDeniedHandler用于處理AccessDeniedException異常，當用戶沒有權(quán)限訪問當前請求的資源時拋出此異常，并跳轉(zhuǎn)自這里配置的/accessDenied.jsp頁面。

authenticationEntryPoint（認證入口點），這里定義了用戶登錄的頁面。系統(tǒng)為我們提供了3個認證入口點的實現(xiàn)：

這里我們使用AuthenticationProcessingFilterEntryPoint認證入口點，提供給用戶一個友好的登錄界面，只是為了給用戶更好的體驗。

filterSecurityInterceptor（過濾器安全攔截器），該過濾器首先調(diào)用認證管理器來判斷用戶是否已被成功驗證，如果沒有被驗證則重定向到登錄界面。否則，從Authentication獲取用戶的權(quán)限信息，然后從objectDefinitionSource中獲取URL所對應(yīng)的權(quán)限，最后調(diào)用accessDecisionManager（訪問決策管理器）來判斷用戶當前擁有的權(quán)限是否與當前受保護的URL資源對應(yīng)的權(quán)限匹配，如果匹配就可以訪問該URL資源，否則將拋出AccessDeniedException異常并返回客戶端瀏覽器一個403錯誤（如果用戶定義了accessDenied頁面則會被重定向到該頁，見：異常處理過濾器exceptionTranslationFilter中配置的accessDeniedHandler Bean），訪問決策管理的的工作機制將在隨后更詳細介紹，這里先給出過濾器安全攔截器的配置如下：

從配置可以看出來，過濾器安全攔截器用到了我們前面配置的認證管理器，過濾器安全攔截器使用authenticationManager并調(diào)用它的providers（提供者列表）來對用戶的身份進行驗證并獲取用戶擁有的權(quán)限。如果用戶被成功認證，過濾器安全攔截器將會使用accessDecisionManager（訪問決策管理器）來判斷已認證的用戶是否有權(quán)限訪問受保護的資源，這些受保護的資源由objectDefinitionSource屬性定義。

訪問決策管理器（accessDecisionManager）：

身份驗證只是Spring Security安全機制的第一步，訪問決策管理器驗證用戶是否有權(quán)限訪問相應(yīng)的資源(filterSecurityInterceptor中objectDefinitionSource屬性定義的訪問URL需要的屬性信息)。

org.springframework.security.AccessDecisionManager接口定義了用于驗證用戶是否有權(quán)限訪問受保護資源的decide方法，另一個supports方法根據(jù)受保護資源的配置屬性（即訪問這些資源所需的權(quán)限）來判斷該訪問決策管理器是否能做出針對該資源的訪問決策。decide方法最終決定用戶有無訪問權(quán)限，如果沒有則拋出AccessDeniedException異常（面前也提到過，你應(yīng)該在回過頭去看看）。

與認證管理器類似，訪問決策管理器也不是由自己來實現(xiàn)訪問控制的，而是通過一組投票者來投票決定（通過調(diào)用投票者的vote方法），訪問決策管理器統(tǒng)計投票結(jié)果并最終完成決策工作。下表列出了系統(tǒng)提供的3個訪問決策管理器的實現(xiàn)：

decisionVoters屬性為訪問決策管理器定義了一組進行投票工作的投票者，那么這些投票者是如何進行投票的呢？這就需要提org.springframework.security.vote.AccessDecisionVoter接口，所有的投票者都實現(xiàn)了這個接口并實現(xiàn)了其中的vote方法。該接口中還定義了3個int類型的常量：

int ACCESS_GRANTED = 1;（投贊成票）

int ACCESS_ABSTAIN = 0;（投棄權(quán)票）

int ACCESS_DENIED = -1; （投反對票）

每個決策投票者都返回這3個常量中一個，這取決與用戶是否有權(quán)限訪問當前請求的資源，訪問決策管理器再對這些投票結(jié)果進行統(tǒng)計。認證投票者的配置如上面所示。

loggerListener是一個可選項，它和我們前面配置的Bean或者過濾器沒有關(guān)系，只是監(jiān)聽系統(tǒng)的一些事件（
實現(xiàn)了ApplicationListener監(jiān)聽接口），被它監(jiān)聽的事件包括AuthenticationCredentialsNotFoundEvent事 件，AuthorizationFailureEvent事件，AuthorizedEvent事件，PublicInvocationEvent事件，相信你從他們 的名字就能看出來是一些什么樣的事件，除非你的e文比我還差勁。loggerListener配置如下：

到此，本例所涉及到的所有配置都介紹完了，在下一篇中會介紹方法安全攔截器，以及如何使用它來保護我們的方法調(diào)用，以及前面提到過的會在下一篇中介紹的，這里不在一一列出。

接下來就是JSP頁面了，首先是login.jsp：

如果你有看源代碼，上面的某些參數(shù)，以及本文所有提及的東西你都不應(yīng)該感到陌生。其它頁面也不在列出了，還有就是如何讓它運行起來，這些我相信你都能自己搞定。

附件1：springsecurity.rar(不包括JAR包)

補上使用命名空間配置實現(xiàn)的代碼，命名空間的詳細資料請參考Spring Security中文參考文檔,翻譯得很好，這里就不在累述了，配置文件中也有比較詳細的注釋。另外例子中還包括了自定義UserDetailService的實現(xiàn)已經(jīng)如何Ehcache緩存用戶信息，詳細的信息將在下一篇中講述。

附件2：springsecurity-namespace.rar(包括部分JAR包)