spring security与cas 集成（上）

spring security想必大家都听说过，我在2010年的时候，也应用过，当时是2.0版本。后来因为它太繁琐，就放弃了，改为自己实现的框架。

现在新系统要应用spring security进行系统的权限管理，所以有必要复习一下。在进行spring security的描述之前，我想描述一下认证与授权两个概念。

因为在公司中，有好多同事搞不清楚这两个概念，各自是干什么的。当然本文也不打算把这个讲的太抽象，一般化，而只是针对于

企业级web应用中一个登陆过程，需要完成什么功能。其实就是完成认证与授权。在基于form表单的登陆形式，用户进入系统，在这个过程

需要完成认证与授权。

所谓认证，就是当用户试图进入系统，而系统发现用户没有登陆，就调转到登陆页面，然后用户输入用户名，密码，点击登陆按钮，系统进行用户名，密码的

校验过程，称之为认证。

所谓授权,指的是系统对用户名，密码进行认证通过，然后对该用户赋权限，即该用户能够访问这个系统的哪些功能（即该用户能够访问这个系统的哪些url地址及按钮）。

这个定义，只是对于这种特殊情况的描述性定义，但是非常好理解。

当然这两个概念可以进行抽象话，比如认证中用户，不一定是人，可以是第三方系统，认证的也不一定是用户名，密码对，可以是认证接口所需要任何内容。

spring security 就是这样一个框架，它帮我们完成了j2ee应用的认证与授权管理，它提供的功能是相当丰富的，并且是不依赖于应用服务器的。

spring security的框架结构很好理解，因为它是基于上面两个概念构建起来的。关于它的深入学习，可参看官方文档。那么spring security与cas进行集成，如何集成呢？

cas它的功能就是进行用户认证。如果spring security与cas集成，就相当于spring security自身的认证功能转移到cas框架上，然后spring security进行认证之后的授权。具体的配置在下篇会讲述。