是在看不出來(lái)，哪里像3.x，3.x的精髓部分根本就沒有說明，入門教程有點(diǎn)淺，你這個(gè)頂多算是一個(gè)小實(shí)驗(yàn)而已。
放心吧，你不會(huì)在任何地方看見轉(zhuǎn)載的。  回復(fù)  更多評(píng)論
  

樓上的你看誰(shuí)的想吐？你P能出個(gè)例子出來(lái)瞧瞧？標(biāo)準(zhǔn)的人型J8，就張了一張P嘴？標(biāo)準(zhǔn)的嘴子貨，在這唧唧歪歪的，不想學(xué)習(xí)的滾？  回復(fù)  更多評(píng)論
  

學(xué)習(xí)了！！！  回復(fù)  更多評(píng)論
  

已經(jīng)能夠顯示出3.x和2.x的不同了，學(xué)習(xí)了  回復(fù)  更多評(píng)論
  

@樓上你我看你想拉屎
自古二樓出傻B，這一定律仍在繼續(xù)，我的ss3你根本就看不懂，我貼出來(lái)你還上火，這樣的文章你也來(lái)頂，你能找到工作，我給你開資，垃-圾。  回復(fù)  更多評(píng)論
  

向你這種隨意踐踏別人的文章,不尊重別人勞動(dòng)成果,只會(huì)寫一篇?jiǎng)e人都看不懂的ss3的人...我可以替你媽媽告訴你:你媽媽叫你回家去吐...  回復(fù)  更多評(píng)論
  

@看你想吐就吐
springsecurity3真是好東西，不過他完全寫到點(diǎn)上，還叫什么完整，居然還發(fā)布誤導(dǎo)人，還不讓轉(zhuǎn)載，要說別的我到不說話了，說道springsecurity我從acegi0.x版本就一直用，我都不敢輕易的發(fā)一些完整這類話的文章，就看你對(duì)ss3的理解，你就是一個(gè)入門尚淺的低級(jí)用戶，還敢說完整。想出名，想教別人，必須自己要會(huì)很多，付出很多，否則會(huì)貽笑大方的。  回復(fù)  更多評(píng)論
  

恩，雖說文章不是很好，看不出那里是實(shí)踐得來(lái)的，倒像是helloworld，不過入門的話，也許能行吧？  回復(fù)  更多評(píng)論
  

看了大家的評(píng)論，覺得自己應(yīng)該更加努力，研究好Spring Security來(lái)幫助大家提高。
SS確實(shí)是個(gè)好東西，我們?cè)?jīng)在多個(gè)項(xiàng)目里不只一次的使用過，也是從最初的Acegi開始，并且實(shí)現(xiàn)了很多電信級(jí)的需求，比如登錄3次失敗鎖定賬號(hào)，24小時(shí)自動(dòng)解鎖，不允許同一帳號(hào)同時(shí)在多個(gè)客戶端登錄等。  回復(fù)  更多評(píng)論
  

看了前面的評(píng)論，真不敢恭維。
都是搞技術(shù)的，還這么浮躁，有意思嘛。
你覺得不怎么樣，可以不說風(fēng)涼話嗎？
有時(shí)間，有這個(gè)精力，你怎么不拿出一篇文章來(lái)，又貼圖，又碼字的。

鼓勵(lì)一下樓主，謝謝分享！  回復(fù)  更多評(píng)論
  

@看你想吐
你認(rèn)為核心在那里呢,樓主標(biāo)題說了,"入門" 你丫就不能看看這兩個(gè)字嗎!!  回復(fù)  更多評(píng)論
  

非常好，如果能有個(gè)demo下載就好了  回復(fù)  更多評(píng)論
  

@Arnold
文章的參考資料里就有demo呀。  回復(fù)  更多評(píng)論
  

你好
部屬了你的代碼，我把resourceMap.put("/i.jsp", atts);注釋掉后發(fā)現(xiàn)i.jsp還是可以訪問？
這是說明，沒有被保護(hù)的資源可以訪問吧？

我想看到403頁(yè)面，所以緊接著加上如下代碼：
Collection<ConfigAttribute> atts2 = new ArrayList<ConfigAttribute>();
ConfigAttribute ca2 = new SecurityConfig("ROLE_SEN");
atts2.add(ca2);
resourceMap.put("/i.jsp", atts2);
再用robin登錄訪問i.jsp
小弟不才，經(jīng)多次測(cè)試還是沒看到想看到的403頁(yè)面？  回復(fù)  更多評(píng)論
  

不錯(cuò)的東西~~我初學(xué)Spring Security，你這篇文章給我很大的幫助！
不過有個(gè)問題，你的pathMatchesUrl方法，兩個(gè)參數(shù)搞反了……
讓我糾結(jié)了一個(gè)早上

最后還是感謝你的貢獻(xiàn)  回復(fù)  更多評(píng)論
  

public class MyInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
private RoleService roleService;
public RoleService getRoleService() {
return roleService;
}
public void setRoleService(RoleService roleService) {
this.roleService = roleService;
}
private UrlMatcher urlMatcher = new AntUrlPathMatcher();
private static Map<String, Collection<ConfigAttribute>> resourceMap = null;

public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
/**
*采用有參數(shù)的構(gòu)造函數(shù)
*RoleService 是獲取資源的類
**/
public MyInvocationSecurityMetadataSource(RoleService roleService) {
this.roleService = roleService;
loadResourceDefine();
}

private void loadResourceDefine() {
resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
List<Role> roles = roleService.findAllRoles();
if(roles!=null && roles.size()>0){
for(Role o:roles){
ConfigAttribute ca = new SecurityConfig(o.getName());
List<Resource> resources = o.getResources();
if(resources!=null && resources.size()>0){
for(Resource resource:resources){
if(resourceMap.containsKey(resource.getResourceString())){
resourceMap.get(resource.getResourceString()).add(ca);
}else{
Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
atts.add(ca);
resourceMap.put(resource.getResourceString(), atts);
}
}
}
}
}else{
ConfigAttribute ca = new SecurityConfig("ROLE_ADMIN");
Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
atts.add(ca);
resourceMap.put("/index.jsp", atts);
resourceMap.put("/i.jsp", atts);
}
/**
ConfigAttribute ca = new SecurityConfig("ROLE_ADMIN");
atts.add(ca);
resourceMap.put("/index.jsp", atts);
resourceMap.put("/i.jsp", atts);
*/
}

public Collection<ConfigAttribute> getAttributes(Object arg0)
throws IllegalArgumentException {
String url = ((FilterInvocation)arg0).getRequestUrl();
Iterator<String> ite = resourceMap.keySet().iterator();
while (ite.hasNext()) {
String resURL = ite.next();
if (urlMatcher.pathMatchesUrl(url, resURL)) {
return resourceMap.get(resURL);
}
}
return null;
}

public boolean supports(Class<?> arg0) {
return true;
}

}


<!--
MyInvocationSecurityMetadataSource 配置修改如下
資源源數(shù)據(jù)定義，即定義某一資源可以被哪些角色訪問
-->
<beans:bean id="securityMetadataSource"
class="com.shoesishow.security.MyInvocationSecurityMetadataSource">
<beans:constructor-arg><beans:ref bean="roleService"/></beans:constructor-arg>
</beans:bean>  回復(fù)  更多評(píng)論
  

上面的是通過動(dòng)態(tài)讀取數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)的.請(qǐng)結(jié)合自身情況改改.其實(shí)樓主已經(jīng)把例子寫的挺好的了.  回復(fù)  更多評(píng)論
  

FilterInvocationSecurityMetadataSource的實(shí)現(xiàn)中，如果需要注入獲取數(shù)據(jù)庫(kù)資源的dao，會(huì)提示：java.lang.NullPointerException，這點(diǎn)樓主并沒有解決。而這點(diǎn)通常是很重要的，如果僅僅是hardcode，直接在配置文件中寫都o(jì)k了，希望樓主可以解答。不要告訴我用jdbc直接取，這種代碼不優(yōu)雅！  回復(fù)  更多評(píng)論
  

最近做項(xiàng)目，在這里卡住了，希望樓主見貼答復(fù)，謝謝！qq：4639966， mail：cngdzql#gmail.com  回復(fù)  更多評(píng)論
  

@luckyzhang
我不是給你解決辦法了.
就是采用有參數(shù)的構(gòu)造方法來(lái)解決注入你要的屬性例如:
public MyInvocationSecurityMetadataSource(RoleService roleService) {
this.roleService = roleService;
loadResourceDefine();
}
RoleService 是可以獲得資源列表的組件.
在xml配置文件中采用構(gòu)造函數(shù)注入的方式把RoleService 注入到MyInvocationSecurityMetadataSource中.例如
<beans:bean id="securityMetadataSource"
class="com.shoesishow.security.MyInvocationSecurityMetadataSource">
<beans:constructor-arg><beans:ref bean="roleService"/></beans:constructor-arg>
</beans:bean>
我上面寫的很清楚.  回復(fù)  更多評(píng)論
  

@chen3975
你這個(gè)使用dao的方法也挺好。但是如果能在MyInvocationSecurityMetadataSource類里面直接使用@Inject方法，就更符合非配置的annonation方法來(lái)。不知道有沒有解決辦法  回復(fù)  更多評(píng)論
  

真感謝樓主提供這么好的技術(shù)文獻(xiàn)，解決了小弟的一大難題！
期待樓主貢獻(xiàn)更多的Spring-Security3的技術(shù)文獻(xiàn)！
謝謝！  回復(fù)  更多評(píng)論
  

我也看不到403頁(yè)面，而且名字為空的話彈不出js腳本，很奇怪的問題

隨意改變用戶名也可以正常登錄……怎么會(huì)這樣呢？  回復(fù)  更多評(píng)論
  

原來(lái)403頁(yè)面就是i.jsp啊，明白了。

但是仍然無(wú)法彈出js腳本提示，而且提交表單form的action值為什么一定要為j_spring_security_check呢？

index.jsp中的logout按鈕的href也是固定為j_spring_security_logout的

不能自定義么？  回復(fù)  更多評(píng)論
  

MyInvocationSecurityMetadataSource類里的 resourceMap 為什么要定義為static ?
請(qǐng)不我不設(shè)置為 static 可以嗎 ？  回復(fù)  更多評(píng)論
  

有代碼嗎？  回復(fù)  更多評(píng)論
  

正在學(xué)習(xí)spring security，非常感謝您的教程！  回復(fù)  更多評(píng)論
  

@呵呵
請(qǐng)見參考資料2  回復(fù)  更多評(píng)論
  

貌似有點(diǎn)問題，訪問的url不在定義的訪問內(nèi)，還能訪問？不知道問題出在哪里了？  回復(fù)  更多評(píng)論
  

MyAccessDecisionManager
我咋發(fā)現(xiàn)當(dāng)url匹配的時(shí)候才調(diào)用這個(gè)。。。而且沒有定義的照樣可以訪問~~
樓主沒有遇到這個(gè)問題嗎？  回復(fù)  更多評(píng)論
  

如果不存在對(duì)該資源的定義，直接放行；
暈，沒有看到這句話。。。在問一句：
spring security支持角色繼續(xù)嗎？  回復(fù)  更多評(píng)論
  

@hermes
當(dāng)然支持角色。  回復(fù)  更多評(píng)論
  

lz水平確實(shí)一般，技術(shù)水平與文章功底比較弱，只是從自己角度解釋問題；
自己學(xué)習(xí)總結(jié)倒也挺好，但是什么開篇一些不得轉(zhuǎn)載裝大拿的話太惹人嫌，比較膚淺，在別人看來(lái)如跳梁小丑一般啊。。。  回復(fù)  更多評(píng)論
  

請(qǐng)問下 ，在MyInvocationSecurityMetadataSource中，能不能通過spring的標(biāo)注注入對(duì)象，然后使用比如。
@Autowired
private FunctionManager functionManager;

但是我的怎么是空指針？  回復(fù)  更多評(píng)論
  

@天道酬勤 我的也出了空指針啊！不知道怎么回事你搞懂了么
  回復(fù)  更多評(píng)論
  

@天道酬勤我的出在這里誰(shuí)給我看下啊
resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
System.out.println("afdsfds");

for(Resources item:securityresourcedao.getAllResource()){
resourceMap.put(item.getUrl(),listToCollection(item.getRole()));
}
連securityresourcedao.getAllResource()這個(gè)方法進(jìn)都沒進(jìn)！
@Repository
@SuppressWarnings("unchecked")
public class SecurityResourceDaoImp implements SecurityResourceDao{
@Autowired
private SessionFactory getsessionfactory;
public Session getSession(){
Session session=getsessionfactory.getCurrentSession();
return session;
}
public List<Resources> getAllResource() {
Session se=this.getSession();
String hql="from Resource";
List<Resources> listresource=se.createQuery(hql).list();
return listresource;
}
  回復(fù)  更多評(píng)論
  

org.springframework.security.web.util.UrlMatcher
這個(gè)接口在spring-security3.1里面沒有了，是怎么回事，有它的替代接口嗎？  回復(fù)  更多評(píng)論
  

這個(gè)問題我也遇到了 不存在資源定義時(shí)根本就不會(huì)走到decide方法里面去，不知道大家遇到?jīng)]？@hermes
  回復(fù)  更多評(píng)論
  

還惹上管事

垃圾一個(gè)  回復(fù)  更多評(píng)論
  

2009年3月，我在“IBM WebSphere技術(shù)專家沙龍（華南區(qū)廣州站）”演講時(shí)的PPT


我暈 鳥人 知道你是那種人了
講ppt的人了 就知道注重面子工程 寫過代碼沒?  回復(fù)  更多評(píng)論
  

樓主，很多沒接粗過spring security的人，更需要你的幫助，配置spring security真的好麻煩，能不能給一份重頭開始的配置呢？能加一些配置過程中的圖片就更好了。建完web project后一步一步配置的操作，網(wǎng)上沒有見到過這樣類似的配置，要知道你少些幾句話會(huì)讓初學(xué)者走很多彎路的。
感謝樓主！！！

xiefh2011@foxmail.com  回復(fù)  更多評(píng)論
  

你好，最近看了你的這篇博客，可是我還是不明白如果加入SSH框架，并且要驗(yàn)證密碼是都正確的話應(yīng)該怎么弄，還希望您不吝賜教，小弟萬(wàn)分感謝。郵箱：4926664447@qq.com  回復(fù)  更多評(píng)論
  

我是新人，以前從未弄過Spring Security，甚至今天之前還不知道Spring Security是個(gè)什么東東。 看了一遍樓主的這篇帖子后，表示還是不懂。希望樓主給點(diǎn)更詳細(xì)的，感謝  回復(fù)  更多評(píng)論
  

@看你想吐就吐
SHIT  回復(fù)  更多評(píng)論
  

@樓上你我看你想拉屎
SON FO BITCH  回復(fù)  更多評(píng)論
  

謝謝樓主分享,學(xué)習(xí)了  回復(fù)  更多評(píng)論
  

網(wǎng)上的垃圾已經(jīng)夠多了  回復(fù)  更多評(píng)論
  

樓主我問一下你都導(dǎo)入了哪些jar包  回復(fù)  更多評(píng)論
  

不錯(cuò)的帖子,對(duì)于我這樣的新手來(lái)說,真是如魚得水了~~~~~~~~~~~~~~~~~~~  回復(fù)  更多評(píng)論
  

你好，我想請(qǐng)教一下403頁(yè)面的配置
特別是在403中獲取throw new AccessDeniedException("no right");
這個(gè)異常的 信息  回復(fù)  更多評(píng)論
  

好好讀一讀  回復(fù)  更多評(píng)論
  

例子很好，謝謝，但是其中有寫類，被spring 廢棄了，所以應(yīng)該有更好的示例。樓主無(wú)視那些噴子吧。  回復(fù)  更多評(píng)論
  

本人初學(xué)者，請(qǐng)問要導(dǎo)入哪些jar包啊，我導(dǎo)入了Spring Security的所有包加上Spring的所有包還是報(bào)錯(cuò)
013-5-7 9:38:52 org.apache.catalina.core.StandardContext listenerStart
嚴(yán)重: Exception sending context initialized event to listener instance of class org.springframework.web.context.ContextLoaderListener
org.springframework.beans.factory.BeanDefinitionStoreException: Unexpected exception parsing XML document from file [D:\Program Files\Apache Software Foundation\Tomcat 6.0\webapps\SpringSecurityDemo\WEB-INF\classes\applicationContext-security.xml]; nested exception is java.lang.NoSuchMethodError: org.springframework.beans.factory.xml.BeanDefinitionParserDelegate.getLocalName(Lorg/w3c/dom/Node;)Ljava/lang/String;
好像是無(wú)法解析XML文檔嗎，這個(gè)項(xiàng)目用到的jar包樓主能否貼出來(lái)，謝謝啦
  回復(fù)  更多評(píng)論
  

你這個(gè)是個(gè)包沖突，我前天也是這樣，后來(lái)?yè)Q了包就好了，包沖突真的很蛋碎。。。@日明月易
  回復(fù)  更多評(píng)論
  

@看你想吐就吐
媽的，寫的代碼讓人容易理解那才叫高手，你Y的寫的SS3讓人看不懂，那叫啥啊？  回復(fù)  更多評(píng)論
  

看不懂別人寫的東西，就謙虛點(diǎn)，別人不欠你的！ 要么離開！！
尊重：這是做人最起碼的！  回復(fù)  更多評(píng)論
  

這個(gè)也叫完整教程  回復(fù)  更多評(píng)論
  

離帖子都幾年了。。。接觸Spring Security有3天了，一直沒有例子看看，這個(gè)不錯(cuò)了，幫助很大
  回復(fù)  更多評(píng)論
  

<input type="text" name="xxx">  回復(fù)  更多評(píng)論
  

回帖里面有些看起來(lái)很牛逼的人，發(fā)個(gè)教程吧。  回復(fù)  更多評(píng)論
  

請(qǐng)問樓主按您的方法我的應(yīng)用報(bào)了：java.lang.IllegalArgumentException: AccessDecisionManager does not support secure object class: class org.springframework.security.web.FilterInvocation 這樣的錯(cuò)。請(qǐng)問是什么問題怎么樣解決  回復(fù)  更多評(píng)論
  

請(qǐng)問樓主我的應(yīng)用報(bào)了：Caused by: java.lang.IllegalArgumentException: SecurityMetadataSource does not support secure object class: class org.springframework.security.web.FilterInvocation 網(wǎng)上搜了很久也沒有相關(guān)的答案，不知樓主能否給解答下。非常感謝！  回復(fù)  更多評(píng)論
  

我也遇到了這個(gè)錯(cuò)誤，后面發(fā)現(xiàn)可能和決策器里面的supports函數(shù)有關(guān)，默認(rèn)返回false，改成返回true之后就能啟動(dòng)了，哦 還有給資源授權(quán)的那個(gè)類里面的supports函數(shù)也返回true就可以了 @零度
轉(zhuǎn)自http://edwin492.iteye.com/blog/1151789  回復(fù)  更多評(píng)論
  

樓主有源碼嗎？麻煩發(fā)一份完整的Demo+sql文件給我，謝謝，1490020533 qq  回復(fù)  更多評(píng)論
  

有個(gè)問題：角色和模塊的關(guān)系建立是在啟動(dòng)的時(shí)候。一般的運(yùn)行程序后臺(tái)添加關(guān)系，這樣新添加的關(guān)系就沒用了，這個(gè)如何解決？  回復(fù)  更多評(píng)論
  

AntUrlPathMatcher這個(gè)類所在jar包是哪個(gè)啊，是spring-security-core-tiger這個(gè)嗎？  回復(fù)  更多評(píng)論
  

@過客


尊重人是最起碼的  回復(fù)  更多評(píng)論