调试易

帖子消失的好快 自己顶几下  我在网上也找过好多spring  security的帖子 但是感觉都讲的不是很全 应该是自己理解力差 不过那篇春天的故事－Spring Security3十五日研究这个写的很多  但是感觉没有讲明白为什么要自定义那几个类  对于spring security的执行原理也了解一点但不是很全  希望大神可以讲讲它的执行原理 是从哪个类调用 依次调用了其他那些类   同时下过网上的spring security的中文文档   但感觉没有一个完整案例来的快

再顶一次   记起来还有一个pdf是一个吴老师的spring  security讲义哪个很详细但是在关键地方断掉了  感觉如果哪位大神有详细的讲义不知道可不可以发给我这个新手一份 在这十分感谢了

看来没人解决了 明天继续等解决 一边继续查找spring security的使用  一定坚持解决这个问题

公司一般做，登录验证没这么复杂，登录验证级别要求高，也一般都是自己去封装加密的，权限控制实际项目中不会使用spring的security 去做，权限控制有很多内容的，所以才没什么人回答这个问题

其实刚进公司没多久 一直再让我们自学  去培训学校的时候讲过spring security但是没讲完就开始找工作了 加上看了好久spring security了不想就这么放弃  而且我觉得早晚会自己写这些东西 所以就多问问多学学 

其实在做项目的过程中， 用了security那几个类， 现在都记不起了  自己调试一下 知道先后顺序就可以开始了， 满足基本的登录，登录后的权限取数，还是非常不错的，至于权限的话，security在我的理解 只能做到资源的过滤，意思就是对菜单的控制，要想做到数据对应权限控制 还得自己做一套数据权限功能出来。由于功力不够，只能 把security当过滤器用了

security这个东西没用过，据说缺点也不少，原来的公司是这样实现的，就是你说的那几张表，然后用拦截器去拦截，看看有没有权限没有的话直接跳转到信息提示页面，前台的话还是要去写公共方法去控制菜单或者按钮的显示的

就是在权限这里  如果单单只是在spring的xml文件中配置这些用户信息 基本上不用写什么类就可以实现很多的权限验证  但就是关键在加入数据库后就懵了  不知道该写哪个类  我想这些其实都可以依靠几个类来完成  但是感觉肯定是一个扩展性不太好的方法 如果你又新加了几种权限感觉所有东西又要改动

那如果新加了一些权限和对应的资源 修改起来会不会很麻烦 不是那种if else if else 的这种不断向下加吧

为什么不用session？我觉得这个更简单啊，把各权限用数字代表，在进入模块前验证session中的权限码

这个我不清楚  但是我在想如果用session放入 如果各种权限很多会不会占用大量内存  还有放到session当中的数据不会被被人获取到吗  session不是很清楚 只知道是一个会话对应一个浏览器窗口  不关闭浏览器就一直存在。

现在项目中也用到spring security，也下了几本书，还没怎么研究啊，表面理解就是通过配置文件，一些资源访问信息存入表中，然后控制权限访问。

这个我不清楚  但是我在想如果用session放入 如果各种权限很多会不会占用大量内存  还有放到session当中的数据不会被被人获取到吗  session不是很清楚 只知道是一个会话对应一个浏览器窗口  不关闭浏览器就一直存在。session是可以设置保留时间的，默认是30分钟无操作会自己删除

这个我不清楚  但是我在想如果用session放入 如果各种权限很多会不会占用大量内存  还有放到session当中的数据不会被被人获取到吗  session不是很清楚 只知道是一个会话对应一个浏览器窗口  不关闭浏览器就一直存在。另外session是保存在服务器上的，传递的是sessionID，要截获sessionID也是比较困难的

这个我不清楚  但是我在想如果用session放入 如果各种权限很多会不会占用大量内存  还有放到session当中的数据不会被被人获取到吗  session不是很清楚 只知道是一个会话对应一个浏览器窗口  不关闭浏览器就一直存在。另外session是保存在服务器上的，传递的是sessionID，要截获sessionID也是比较困难的
额 这样是一个解决方案  但是刚才看了一下session固定攻击可以伪造id对用户信息进行截取不是说明放到session当中很容易被攻击吗

这个我不清楚  但是我在想如果用session放入 如果各种权限很多会不会占用大量内存  还有放到session当中的数据不会被被人获取到吗  session不是很清楚 只知道是一个会话对应一个浏览器窗口  不关闭浏览器就一直存在。另外session是保存在服务器上的，传递的是sessionID，要截获sessionID也是比较困难的
额 这样是一个解决方案  但是刚才看了一下session固定攻击可以伪造id对用户信息进行截取不是说明放到session当中很容易被攻击吗这个我也看了，安全问题时刻存在的，要完完全全的安全也是不可能的，我们也只是去降低风险嘛。况且浏览器漏洞，我们也搞不定啊

这个我不清楚  但是我在想如果用session放入 如果各种权限很多会不会占用大量内存  还有放到session当中的数据不会被被人获取到吗  session不是很清楚 只知道是一个会话对应一个浏览器窗口  不关闭浏览器就一直存在。另外session是保存在服务器上的，传递的是sessionID，要截获sessionID也是比较困难的
额 这样是一个解决方案  但是刚才看了一下session固定攻击可以伪造id对用户信息进行截取不是说明放到session当中很容易被攻击吗这个我也看了，安全问题时刻存在的，要完完全全的安全也是不可能的，我们也只是去降低风险嘛。况且浏览器漏洞，我们也搞不定啊
嗯嗯 谢谢你的回答   这是一种方案了 那还有别的方案吗

这个我不清楚  但是我在想如果用session放入 如果各种权限很多会不会占用大量内存  还有放到session当中的数据不会被被人获取到吗  session不是很清楚 只知道是一个会话对应一个浏览器窗口  不关闭浏览器就一直存在。另外session是保存在服务器上的，传递的是sessionID，要截获sessionID也是比较困难的
额 这样是一个解决方案  但是刚才看了一下session固定攻击可以伪造id对用户信息进行截取不是说明放到session当中很容易被攻击吗这个我也看了，安全问题时刻存在的，要完完全全的安全也是不可能的，我们也只是去降低风险嘛。况且浏览器漏洞，我们也搞不定啊
嗯嗯 谢谢你的回答   这是一种方案了 那还有别的方案吗别的话，你等等别人的回答，因为我们一般都是用这样的方法，方便易用，安全性也不低，满足大部分需求

用apache shiro 比spring security 简单好用，其实登录验证自己后台判断，拦截器就可以实现的

这几天公司找了一个jeecg的平台 发现里面就有一个非常完整的安全登录验证控制权限的