前言

之前公司作项目时就有接触过spring security，不过是由他人搭建起来，自己在其基础实现如单点登陆，输入错误限制等一些小功能。感觉自己对该框架的理解不是很深，于是花了一些时间重新搭建spring security框架，整理成文档，希望能够帮到有需要的人。

环境配置

• IDE工具：IDEA-2017.1
• 系统环境：win10 tomcat-9.0.0.1 java-1.8 mysql-5.7
• spring-security版本：4.2.2

实现功能

实现用户登录时，验证其合法性，并通过security访问数据库可以获取到相对应角色和资源信息存储到SecurityContext里面。

具体流程

• 1.tomcat启动时：调用【CustomInvocationSecurityMetadataSource】进行初始化角色权限和资源【initResources】
• 2.用户发出请求
• 3.【securityFilter】拦截并判断
• 4.【CustomInvocationSecurityMetadataSource：getAttributes】取得请求资源所需权限
• 5.用户点击【登陆】
• 6.访问登陆拦截器【loginFilter】
• 7.跳到【CustomUserDetailsService：loadUserByUsername】根据用户加载相对应的资源
• 8.跳到自定义密码处理类【CustomPasswordEncoder】，验证密码是否对错。
• 9.如果出错，跳到相对应的登陆错误页面。正确则跳到成功页面

具体配置

• 1.在pom.xml中引入所需的jar包

                
     
      org.springframework.security
                 
     
      spring-security-core
                 
     
      4.2.2.RELEASE
             
            
                
     
      org.springframework.security
                 
     
      spring-security-config
                 
     
      4.2.2.RELEASE
             
            
                
     
      org.springframework.security
                 
     
      spring-security-web
                 
     
      4.2.2.RELEASE
             
    

• 2.在web.xml配置SpringSecurity处理的请求的拦截器

            
     
      springSecurityFilterChain
             
     
      org.springframework.web.filter.DelegatingFilterProxy
         
        
            
     
      springCharacterEncodingFilter
             
     
      /*
         
        
            
     
      springSecurityFilterChain
             
     
      /*
         
    

3.spring-security.xml具体配置

相关参考博客

具体代码