用 Spring Security 4+Spring MVC+Spring4 构建健壮且安全的web应用

Spring Security可谓是在权限管理领域中公认的最强框架，只是学习难度稍微有点大，要想拥有强大的功能总得付出点代价，是吧 :)

现在我们就用用 Spring Security 4+Spring MVC+Spring4 来构建一个web应用。

首先需要创建一个Spring4+Spring MVC 的web工程，可以参考我的另一篇博文：http://blog.csdn.net/qq245671051/article/details/47206331

在此基础上，我们还需要再加入和Spring Security的jar包



其中spring-security-messaging又依赖了spring-messaging，所以再加入一个：



Spring Security的一些配置我们在Spring容器中进行配置，我们需要在Spring的xml配置文件中加入SpringSecurity的命名空间，这里我们添加一个：

xmlns：xmlns:sec="http://www.springframework.org/schema/security

在xsi:schemaLocation中加入新加一个：
http://www.springframework.org/schema/securityhttp://www.springframework.org/schema/security/spring-security-4.0.xsd
在里面加入类似下面的配置：

<!-- 权限控制 -->

<sec:http>
<sec:intercept-url pattern="/register*" access="isAnonymous()" /> <!—所有人都能访问注册页面-->
<sec:intercept-url pattern="/login.jsp*" access="isAnonymous()" /> <!—所有人都能访问登录页面-->
<sec:intercept-url pattern="/**" access="hasRole('USER')"/> <!—除了以上匿名用户都能访问的页面其余页面都必须要登录 -->
<sec:form-login login-page="/login.jsp" /> <!-- 自定义登录页面（如果没有指定就使用默认生成的一个简陋的登录界面，而且提交中文会乱码） -->
<sec:logout /> <!-- 用户可以注销，默认是路径为：”/logout” -->
<sec:csrf disabled="true" /><!—csrf安全防范默认是打开了的，但是测试的时候打开不好，比较复杂，所以我们就关掉 -->
</sec:http>

这只是一个基本的配置。