用Spring Security3的四種方法概述
那么在Spring Security3的使用中，有4種方法：
一種是全部利用配置文件，將用戶、權(quán)限、資源(url)硬編碼在xml文件中，已經(jīng)實現(xiàn)過，并經(jīng)過驗證；
二種是用戶和權(quán)限用數(shù)據(jù)庫存儲，而資源(url)和權(quán)限的對應(yīng)采用硬編碼配置，目前這種方式已經(jīng)實現(xiàn)，并經(jīng)過驗證。
三種是細(xì)分角色和權(quán)限，并將用戶、角色、權(quán)限和資源均采用數(shù)據(jù)庫存儲，并且自定義過濾器，代替原有的FilterSecurityInterceptor過濾器，
并分別實現(xiàn)AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService，并在配置文件中進(jìn)行相應(yīng)配置。
目前這種方式已經(jīng)實現(xiàn)，并經(jīng)過驗證。
四是修改spring security的源代碼，主要是修改InvocationSecurityMetadataSourceService和UserDetailsService兩個類。
前者是將配置文件或數(shù)據(jù)庫中存儲的資源(url)提取出來加工成為url和權(quán)限列表的Map供Security使用，后者提取用戶名和權(quán)限組成一個完整的(UserDetails)User對象，該對象可以提供用戶的詳細(xì)信息供AuthentationManager進(jìn)行認(rèn)證與授權(quán)使用。
該方法理論上可行，但是比較暴力，也沒有時間實現(xiàn)，未驗證，以后再研究。