Spring安全访问角色基础知识

Question

我是Spring Security的新手，正在经历简单的Hello World之类的程序。

我从这里得到了这个例子：http://www.roseindia.net/tutorial/spring/spring3/springsecurity/SpringSecurityCustomLoginForm.html

我无法获得正确的申请流程。

我发现在Spring HTML表单中，写成这样：

“method='POST'>

当有人像j_spring_security_check这样写的时候会发生什么？

同样在security.xml ie服务器侧，

<http auto-config="true">
    <intercept-url pattern="/index*" access="ROLE_USER" />
    <form-login login-page="/login" default-target-url="/index" authentication-failure-url="/failLogin" />
    <logout logout-success-url="/logoff" />
</http>

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="admin" password="roseindia" authorities="ROLE_USER" />
        </user-service>
    </authentication-provider>
</authentication-manager>

那么当像(http://localhost:8080/SpringSecurityCheckExample/index)这样的请求第一次命中时会发生什么呢？

它将转到身份验证管理器标记还是http标记？

另外，我还发现了一些写成，

​

在这种情况下，cam_create应该是什么？

此外，如果我们从数据库中检查uid和密码，那么我们是否必须在那里为角色创建一列，并为每个uid和pswd分配一些角色，或者它是如何实现的？

我很抱歉问了些愚蠢的问题，但我想澄清一下我的疑问。此外，我还发现了一些关于这方面的很好的教程。

谢谢

Answer 1

问:如果有人像j_spring_security_check那样写作，会发生什么？

-> j_spring_security_check是登录处理url，映射到org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter的filterProcessesUrl属性。这将启用使用Spring Security的身份验证。但请记住，您必须将输入字段username和password的名称分别设置为j_username和j_password。

问:当request like (http://localhost:8080/SpringSecurityCheckExample/index)第一次命中时会发生什么？

->

1. 检查用户是否已登录，如果未登录，则将用户带到登录页面。
2. 用户使用凭据登录。如果凭据有效，则将用户带到authentication-failure-url="/failLogin".

页面；如果凭据无效，则将用户带到/index页面

它将转到身份验证管理器标记还是

标记？

->既不转到http标签，也不转到authentication-manager标签。XML值将由Spring类和过滤器在服务器启动时读取。

另外，如果我们从数据库中检查uid和密码，那么我们是否必须在那里为角色创建一列，并为每个uid和pswd分配一些角色，或者它是如何实现的？

->可以，您需要为每个用户分配角色，并且您还必须将角色存储在数据库中。

有关更多信息，请查看Spring Security Docs。