本教程将会展示如何创建一个Spring Security 的认证提供者，来获得比标准场景下使用的简单的UserDetailsService 更多的灵活性。

IntelliJ IDEA 12 Leda 中将支持 Spring Security

Spring Security 今天发布了 3.1 的第二个候选发行版本，详细改进记录请看 changelog 相关链接地址： Download | Changelog | Reference Manual | FAQ Spring Security 的前身是 Acegi Security ，是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业

Spring Security 安全框架的使用例子是留言板应用，打包为board.rar实例：消息留言板应用开发以spring MVC 为web框架、spring Security为安全框架的应用首先创建目录结构。

在SpringSide 3的官方文档中，说安全框架使用的是Spring Security 2.0。乍一看，吓了我一跳，以为Acegi这么快就被淘汰了呢。上搜索引擎一搜，发现原来Spring Security 2.0就是Acegi 2.0。悬着的心放下来了。虽然SpringSide 3中关于Acegi的配置文件看起来很不熟悉，但是读了Acegi 2.0的官方文档后，一切都释然了。

Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC（依赖注入，也称控制反转）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

下面我们将实现关于SpringSecurity3的一系列教程. 最终的目标是整合SpringSecurity+Spring3MVC 完成类似于SpringSide3中mini-web的功能. SpringSecurity是什么? 引用SpringSecurity，这是一种基于SpringAOP和Servlet过滤器的安全框架。它提供全面的安全性解决方案，同时在Web请求级和方法调用级处理身份确认和授权。

实例本例所覆盖的内容：使用SpringSecurity管理用户身份认证、登录退出用户密码加密及验证采用数据库的方式实现SpringSecurity的remember-me功能获取登录用户信息。

Spring Security3的使用方法有4种： 一种是全部利用配置文件，将用户、权限、资源(url)硬编码在xml文件中。 二种是用户和权限用数据库存储，而资源(url)和权限的对应采用硬编码配置。 三种是细分角色和权限，并将用户、角色、权限和资源均采用数据库存储，并且自定义过滤器，代替原有的FilterSecurityInterceptor过滤器，并分别实现AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService，并在配置文件中进行相应配置。

介绍1、CAS是Yale大学发起的一个开源项目，旨在为Web应用系统提供一种可靠的单点登录方法，CAS在2004年12月正式成为JA-SIG的一个项目。CAS具有以下特点：2、开源的企业级单点登录解决方案。3、CASServer为需要独立部署的Web应用。4、CASClient支持非常多的客户端(这里指单点登录系统中的各个Web应用)，包括Java,.Net,PHP,Perl,Apache,uPortal,Ruby等。

Springsecurity3整合CAS一CAS介绍1、CAS是Yale大学发起的一个开源项目，旨在为Web应用系统提供一种可靠的单点登录方法，CAS在2004年12月正式成为JA-SIG的一个项目。CAS具有以下特点：2、开源的企业级单点登录解决方案。3、CASServer为需要独立部署的Web应用。

单点登录（Single Sign On , 简称 SSO ）是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架。 本文介绍了 CAS 的原理、协议、以及配合Spring-Security在 Tomcat 中的配置和使用。

Spring Security为基于J2EE企业应用软件提供了全面安全服务。 特别是使用领先的J2EE解决方案-spring框架开发的企业软件项目。 如果你没有使用Spring开发企业软件，我们热情的推荐你仔细研究一下。 熟悉Spring-尤其是依赖注入原理-将帮助你更快的掌握Spring Security。<br> 人们使用Spring Security有很多种原因， 不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 提到这些规范，特别要指出的是它们不能在WAR或EAR级别进行移植。这样，如果你更换服务器环境， 就要，在新的目标环境进行大量的工作，对你的应用系统进行重新配置安全。 使用Spring Security解决了这些问题，也为你提供了很多有用的，可定制的其他安全特性。<br> 你可能知道，安全包括两个主要操作， “认证”和“验证”（或权限控制）。 这就是Spring Security面向的两个主要方向。“认证” 是为用户建立一个他所声明的主体的过程， （“主体”一般是指用户，设备或可以在你系统中执行行动的其他系统）。 “验证”指的一个用户能否在你的应用中执行某个操作。 在到达授权判断之前，身份的主体已经由身份验证过程建立了。 这些概念是通用的，不是Spring Security特有的。

SpringSecurity3.x出来一段时间了，跟Acegi是大不同了，与2.x的版本也有一些小小的区别，网上有一些文档，也有人翻译SpringSecurity3.x的guide，但通过阅读guide，无法马上就能很容易的实现一个完整的实例。我花了点儿时间，根据以前的实战经验，整理了一份完整的入门教程，供需要的朋友们参考。1，建一个webproject，并导入所有需要的lib.

单点登录（Single Sign On , 简称 SSO ）是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架。 本文介绍了 CAS 的原理、协议、以及配合Spring-Security在 Tomcat 中的配置和使用。

Spring Security 的前身是 Acegi Security ，是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因，不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。

以下是最查看次数最多的文章: Tutorial: Getting Started with Spring Security ExtJS and Spring MVC Framework: CRUD DataGrid Example Ajax File Upload with ExtJS and Spring Framework Integrating Spring Security with Ex

使用Spring Security3的四种方法概述 那么在SpringSecurity3的使用中，有4种方法： 一种是全部利用配置文件，将用户、权限、资源(url)硬编码在xml文件中，已经实现过，并经过验证； 二种是用户和权限用数据库存储，而资源(url)和权限的对应采用硬编码配置，目前这种方式已经实现，并经过验证。

我们在编写Web应用时，经常需要对页面做一些安全控制，比如：对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样，可以通过Aop、拦截器实现，也可以通过框架实现（如：Apache Shiro、Spring Security）。

本用户指南分为两个部分，第一部分是OAuth2.0提供端（OAuth 2.0 Provider），第二部分是OAuth2.0的客户端（OAuth 2.0 Client）