Spring Security是一個能夠為基于Spring的企業(yè)應用系統(tǒng)提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反轉Inversion of Control ,DI:Dependency Injection 依賴注入）和AOP（面向切面編程）功能。

Spring Security3的使用方法有4種：
一種是全部利用配置文件，將用戶、權限、資源(url)硬編碼在xml文件中。
二種是用戶和權限用數(shù)據(jù)庫存儲，而資源(url)和權限的對應采用硬編碼配置。
三種是細分角色和權限，并將用戶、角色、權限和資源均采用數(shù)據(jù)庫存儲，并且自定義過濾器，代替原有的FilterSecurityInterceptor過濾器，并分別實現(xiàn)AccessDecisionManager、
InvocationSecurityMetadataSourceService和UserDetailsService，并在配置文件中進行相應配置。
四是修改spring security的源代碼，主要是修改InvocationSecurityMetadataSourceService和UserDetailsService兩個類。前者是將配置文件或數(shù)據(jù)庫中存儲的資源(url)提取出來加工成為url和權限列表的Map供Security使用，后者提取用戶名和權限組成一個完整的 (UserDetails)User對象，該對象可以提供用戶的詳細信息供AuthentationManager進行認證與授權使用。該方法理論上可行，但是比較暴力，不推薦使用。

本文有兩個例子，在簡單例子章節(jié)實現(xiàn)了第一種方法。在復雜例子章節(jié)實現(xiàn)了第二種和第三種方法組合使用的例子。簡單例子通俗易懂，不再贅述。復雜例子及其使用和擴展，我將穿插詳細的配置注釋和講解，包括整個程序的執(zhí)行過程。