用Spring Security3的四種方法概述
那么在Spring Security3的使用中，有4種方法：
一種是全部利用配置文件，將用戶、權(quán)限、資源(url)硬編碼在xml文件中，已經(jīng)實(shí)現(xiàn)過，并經(jīng)過驗(yàn)證；
二種是用戶和權(quán)限用數(shù)據(jù)庫(kù)存儲(chǔ)，而資源(url)和權(quán)限的對(duì)應(yīng)采用硬編碼配置，目前這種方式已經(jīng)實(shí)現(xiàn)，并經(jīng)過驗(yàn)證。
三種是細(xì)分角色和權(quán)限，并將用戶、角色、權(quán)限和資源均采用數(shù)據(jù)庫(kù)存儲(chǔ)，并且自定義過濾器，代替原有的FilterSecurityInterceptor過濾器，
并分別實(shí)現(xiàn)AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService，并在配置文件中進(jìn)行相應(yīng)配置。
目前這種方式已經(jīng)實(shí)現(xiàn)，并經(jīng)過驗(yàn)證。
四是修改spring security的源代碼，主要是修改InvocationSecurityMetadataSourceService和UserDetailsService兩個(gè)類。
前者是將配置文件或數(shù)據(jù)庫(kù)中存儲(chǔ)的資源(url)提取出來加工成為url和權(quán)限列表的Map供Security使用，后者提取用戶名和權(quán)限組成一個(gè)完整的(UserDetails)User對(duì)象，該對(duì)象可以提供用戶的詳細(xì)信息供AuthentationManager進(jìn)行認(rèn)證與授權(quán)使用。
該方法理論上可行，但是比較暴力，也沒有時(shí)間實(shí)現(xiàn)，未驗(yàn)證，以后再研究。