<security：authentication-manager>的内部高级设置

在上一篇的Spring security设置示例中，我设置了authentication-manager来检查登录用户凭证，并使用<user-service>标签中定义的纯文本用户。如下所示，您可以在此处为您的应用程序定义多个用户。

上面的方式，是简单的校验。对于更复杂的，比如要对数据库中的Users表进行身份验证，则可以使用<security：jdbc-user-service>替换<security：user-service> ... </ security：user-service>标记。如下。

在这里，您执行SQL查询以从数据库中的“users”表中获取用户名和密码。

类似地，用户名的授权权限也从“user_roles”数据库表中获取。

在这里您可以注意到我在“data-source-ref”属性中提到了数据源引用。这是“dataSource”。

因此，您需要在应用程序Context xml文件中定义一个id =“dataSource”的Bean。如下。

我在上面的数据库属性标记的“value”中提供了占位符。您可以用实际值替换它们。

如果要通过数据访问对象层（DAO）@Service对数据库中的Users表进行身份验证，则可以按如下方式进行配置。

在这里，您执行SQL查询以从数据库中的“users”表中获取用户名和密码。

类似地，用户名的授权权限也从“user_roles”数据库表中获取。

在这里您可以注意到我在<security：authentication-provider>标记中提到了user-service-ref =“loginService”。

spring安全性将使用名为“loginService”的存储库服务获取身份验证。

我们可以为我们的登录服务创建数据访问对象接口和实现。

比如：我们创建一个名为“LoginDAO.java”的接口java类

com.stiti.model.AppUser和 AppUserRole是Model类。

您可以使用自己的方式获取数据库用户和用户角色表并定义 findUserByUsername（String username）函数体。

findUserByUsername（String username）返回AppUser类型对象。

编写Spring MVC应用程序的Controller

现在我们需要编写Spring MVC应用程序的Controller。

我们需要在Controller类中为应用程序的主路径定义一个RequestMapping方法，该路径在我的示例“/”中。当用户打开应用程序URL例如“http://www.example.com/”时，执行为该请求映射定义的以下方法“loadHomePage（）”。在此方法中，它首先获得对此URL的用户身份验证和授权。

Spring-security将首先检查spring配置中的<security：intercept_url>，以查找允许访问此url路径的角色。在此示例中，它查找允许具有角色“USER”的用户访问此URL路径。如果用户有一个角色= USER，那么它将加载主页。

否则，如果它是匿名用户，则spring安全校验会将它重定向到登录页面。

在我们的Controller类中定义RequestMapping方法以加载自定义“登录页面”，前提是您在Spring <security：http> <security：form-login ...>标记中提到了自定义登录页面URL。否则无需为Login页面定义任何控制器方法，spring会自动将用户带到spring-security的默认登录表单页面，这是一个由spring-security本身编写的简单JSP页面。