【正文】 } public void destroy() { // TODO Autogenerated method stub } public void init(FilterConfig filterconfig) throws ServletException { // TODO Autogenerated method stub } } 如有異議，請加 qq： 89168934，互相學習交流。 } public void setSecurityMetadataSource( FilterInvocationSecurityMetadataSource securityMetadataSource) { (abc=======================edf)。 } finally { (token, null)。 } public void invoke(FilterInvocation fi) throws IOException, ServletException { InterceptorStatusToken token = (fi)。 } public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() { return 。 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { FilterInvocation fi = new FilterInvocation(request, response, chain)。 import urityMetadataSource。 import 。 import 。 import 。 import 。 import 。 import 。這一句，即在執(zhí)行 doFilter 之前，進行權(quán)限的檢查，而具體的實現(xiàn)已經(jīng)交給accessDecisionManager 了 (MyFilterSecurityInterceptor) 代碼如下： package 。 } } 四、 這個過濾器要插入到授權(quán)之前。 } public boolean supports(ConfigAttribute attribute) { // TODO Autogenerated method stub return true。s role. return。 String needRole=((SecurityConfig)ca).getAttribute()。 //object is a URL. IteratorConfigAttribute ite=()。 public class MyAccessDecisionManager implements AccessDecisionManager { //In this method, need to pare authentication with configAttributes. // 1, A object is a URL, a filter was find permission configuration by this URL, and pass to here. // 2, Check authentication has attribute in permission configuration (configAttributes) // 3, If not match corresponding authentication, throw a AccessDeniedException. public void decide(Authentication authentication, Object object, CollectionConfigAttribute configAttributes) throws AccessDeniedException, InsufficientAuthenticationException { if(configAttributes == null){ return 。 import 。 import 。 import 。 import 。 (MyAccessDecisionManager) 代碼如下： package 。 } } 三、 最重要的是 decide 方法，如果不存在對該資源的定義，直接放行；否則，如果找到正確的角色，即認為擁有權(quán)限，并放行，否則 throw new AccessDeniedException(no right)。 } public boolean supports(Class? clazz) { return true。 if ((url, resURL)) { return (resURL)。 IteratorString ite = ().iterator()。 } (url, atts)。 // ,role_user,role_admin } else { (ca)。 (ca)。 for (String res : query1) { String url = res。+auth+39。// ROLE_ADMIN // (ca)。 //()。 CollectionConfigAttribute atts = new ArrayListConfigAttribute()。 ListString query=(select authority_name from pub_authorities ).list()。 SessionFactory sessionFactory = (SessionFactory)(sessionFactory)。 (/, atts)。 (ca)。 CollectionConfigAttribute atts = new ArrayListConfigAttribute()。 public MyInvocationSecurityMetadataSourceService() { loadResourceDefine()。 private UrlMatcher urlMatcher = new AntUrlPathMatcher()。 * * 此類在初始化時，應該取到所有資源及其對應角色的定義 * * 說明：對于方法的 spring 注入，只能在方法和成員變量里注入， * 如果一個類要進行實例化的時候，不能注入對象和操作對象， * 所以在構(gòu)造函數(shù)里不能進行操作注入的數(shù)據(jù)。 /* * * 最核心的地 方，就是 提供某個 資源對應 的權(quán)限定 義，即getAttributes 方法返回的結(jié)果。 import 。 import 。 import 。 import nSecurityMetadataSource。 import 。 import t。 import 。 import 。 import 。 import 。 import 。 import 。 return user。 ListPubAuthoritiesResources aaa=()。 String password=null。 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException, DataAccessException { CollectionGrantedAuthority auths=new ArrayListGrantedAuthority()。 //你就可以從數(shù)據(jù)庫中讀入用戶的密碼，角色信息，是否鎖定，賬號是否過期 Service public class MyUserDetailService implements UserDetailsService { Autowired private PubUsersDao pubUsersDao。 import 。 import 。 import eption。 import 。 import 。 import 。 import 。 一、 用來獲得用戶驗證信息（ MyUserDetailService） 代碼如下： package 。 建立權(quán)限的 Service 層 配置 ?xml version=