权限访问安全基于springAOP拦截机制流程图数据表用户表用户IDUserIDPK角色表角色IDRolesIDPK用户角色表用户IDUserIDFK角色IDRolesIDFK资源表资源IDResourcelDPK资源方法ActionNmae角色资源表角色IDRolesIDFK资源IDResourcelDFK基于springsecurity3安全管理机制业务逻辑资源信息action为请求路径，角色可以拥有多个资源信息，用户组拥有多个角色，用 户组必须拥有资源代码action.页面菜单才能显示，最终实现菜单显示与请求路径权限验 证。spring security3主要配置文件。applicati on -security.xmlxbeans:beans xmlns=http:/www.springframework.org/schema/security mlns:beans=Hhttp:/www.springframework.org/schema/beans xmlns:xsi=”http:wwww3org/2001/Xh/lLSchemainstance” xsi:schemaLocatio n=”http:www.springframework.org/schema/bea ns http:/www.springframework.org/schema/bea ns/spri ngbeans3.0.xsd http:/www.springframework.org/schema/securityhttp:/www.springframework.org/schema/security/spri ng-security3l.xscT http pattern=，7include/css/*11 securitynone”/!-auto-config = true则使用from-login.如果不使用该属性 则默认为http-basic（没有 session） !- lowercase-comparisons：表示 URL 比较前先转为小写。 !- always-use-default-target：指定了是否在身份验证通过后总是跳转到default-target-url属 性指定的URLo !-此值表示：用户第二次登录时，前一次的登录信息都被清空。-!-当 exception-if-maximum-exceeded=,trueM 时系统会拒绝第二次登录。-48.session-management invalid-sessionurl=7login.jsp session-fixation-protectio n二none”!-防止session攻击-!-同一个帐号同时只能一个人登录-!- AuthorizationFailureEvent 事件,AuthorizedEvent 事件,PublicInvocationEvent 事件一!-自定义资源文件提示信息!-用户是否拥有所请求资源的权限!-实现了 UserDetailsService 的 Beanbeans:bean id JmySecurityh/letadataSource”,com.taskma nage r. web. security. MySecurityMetadataSource”!-获取用户登入角色信息-