Spring的MVC模块是一种简洁的Web应用框架，实现了MVC模式来处理HTTP请求和响应。相比于Struts系列，SpringMVC的MVC 更加明显，将控制器和视图的定义完全分离，它们不需要在一个命名空间下了。它有Spring的全部优点，bean的配置更加舒服。而Spring 3的注解配置使得代码编写更加优雅。本例结合Spring MVC和Security框架进行小小整合，仅做功能说明，不详细探究其原理。
首先是建立项目，做一个简单的消息发布功能，代码结构如下，使用Maven可以很好的管理依赖：

采用了分层结构，但是没有使用到数据库操作，仅仅做个简短的说明，数据库操作用在后面Security框架验证用户时。下面来看看依赖关系，这样能对Spring的层次结构了解更加清晰：

先来看最基本的web部署描述文件web.xml，将用到的配置写好，Spring 3使用DispatcherServlet派发请求，而Security框架串接过滤器的机制来进行安全处理。配置很简单，如下即可，web请求使用.htm形式：

<?xml version=”1.0″ encoding=”UTF-8″?>
<web-app version=”2.5″ xmlns=”http://java.sun.com/xml/ns/javaee”
xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance”
xsi:schemaLocation=”http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd”>
<context-param>
<param-value>
/WEB-INF/board-service.xml
/WEB-INF/board-security.xml
</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>board</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>board</servlet-name>
<url-pattern>*.htm</url-pattern>
</servlet-mapping>
</web-app>

    下面是Servlet的配置文件，因为我们使用了注解，这里仅需对视图文件进行一下说明即可，而又配合后面的Security框架，在这里对 Security框架的方法拦截注解也声明了一下，这里说明一点，要拦截Controller的方法，必须将Security的声明和Servlet放在 一个文件内，否则拦截是没有作用的：

<?xml version=”1.0″ encoding=”UTF-8″?>
<beans xmlns=”http://www.springframework.org/schema/beans”
xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance”
xmlns:security=”http://www.springframework.org/schema/security”
xmlns:context=”http://www.springframework.org/schema/context”
xsi:schemaLocation=”http://www.springframework.org/schema/beans

http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

http://www.springframework.org/schema/context

http://www.springframework.org/schema/context/spring-context-3.0.xsd

http://www.springframework.org/schema/security

http://www.springframework.org/schema/security/spring-security-3.0.xsd”>
<context:component-scan base-package=”org.ourpioneer.board.web” />
<bean
class=”org.springframework.web.servlet.view.InternalResourceViewResolver”>
<property name=”prefix” value=”/WEB-INF/jsp/” />
<property name=”suffix” value=”.jsp” />
</bean>
<security:global-method-security
jsr250-annotations=”enabled” secured-annotations=”enabled” />
</beans>
其中对org.ourpioneer.board.web包进行组件扫描，就会发现我们注解声明的控制器了，下面是对视图解析的说明，我们把视图文件写在 /WEB-INF/jsp/下，后缀名为.jsp的文件就是视图文件，为什么把前缀和后缀都声明好了？因为程序里面我们直接写文件名就可以了，非常灵活， 它不关心是不是和请求路径是相同的。下面是对Controller方法拦截的Security框架的配置。
配置好Servlet相关内容，剩下就是Service内容了，这个很简单了，声明一个bean就是了，为了配合Security框架连接数据库验证用户身份，这里也配置一个数据源，使用Spring自己的数据源实现：

配置好后，我们来看看程序代码，首先看看定义的领域对象Message，很简单的bean：

下面是Service，我们使用了实现和接口相分离的原则，方面后续在WebService中公开等，可能用不到，但这是一个良好的设计原则。接口内定义四个方法声明：

下面是Service的实现类，就用List放置Message即可，这里我们对Service的方法也进行了安全拦截，这是更细粒度的拦截，后面会详细介绍，现在可以不管：

下面就该进入控制器部分了，我们一个一个来看：

对该类进行控制器注解声明，说明是Spring MVC中的控制器，下面是请求映射声明，处理/messageList.htm的请求，Service的注入采用自动装配，连set方法都不用了，下面是 对处理方法，可以看出，这是一个简单的POJO，连方法名都是我们自定义的，只需声明HTTP请求方法，就能找到方法了，而Model是传递数据给页面的 对象，把获取到的message列表放进去就行了，来看返回值，一个字符串，什么意思？就是JSP页面的名字，是不是很简单，MVC表现的淋漓尽致，这就 会找到页面了。
下面是发布消息的类：

GET方式是请求到这个页面，而POST方式是发布消息，最后是重定向，再到messageList.htm，就是这么简单的配置。要注意的是方法实现， 先看页面请求方法setupForm(Model model)，参数上面已经解释了，是传递给页面的数据对象，里面放置了一个Message对象，做什么用的？肯定页面使用了，不过这是一个空对象，那么 自然想到要和表单属性进行绑定，等会看看页面就一清二楚了。下面是onSubmit方法，里面的参数都是我自己定义的，只要记住 BindingResult要和数据对象参数Message写在一起，后面的参数写想用的就行，那么我想用HttpServletRequest对象，就 写上去。真的很灵活。方法实现很简单，就不多说了。
最后是删除功能了，更简单了：

只是权限设置为有管理员权限的才能删除，这里先不用。来看方法参数，我们必须要一个请求参数，是messageId，删除消息的标识符。下面就是操作了，很简单。
最后来看一下页面：

列表页面有Security框架标签的使用，仅做MVC时可以先注释起来。这里使用了JSTL标签来遍历message列表，都很简单。
下面是发布消息的页面：

前面说的数据绑定，这里就很容易看明白了吧。没有什么可以多解释的。
准备都做好后就是运行了，我们启动Jetty，来看看效果。关于Jetty的配置请参考作者之前对Maven和Jetty整合的文章，描述很详细。

因为我结合了Security框架，所以看到了我登录的身份列表，下面就是发布消息了，这就很简单了：

将结合Security框架进行简单安全的说明，是基于本例的。欢迎交流，希望对使用者有用。

    下面继续研究Spring MVC和Security的简单整合开发。但文本会略详细介绍Security的基本用法。
现在来说Security部分。Spring Security框架是Acegi Security的升级，这个框架就是利用了多重过滤的机制对请求进行处理，将符合要求的请求放行，不符合要求的请求阻止下来，这是最大的原理。下面先来看看简单的url过滤吧。
先写一个用于验证身份的登录页面：

做一些说明，使用Spring Security时，默认的登录验证地址是j_spring_security_check，验证的用户名是j_username，密码是 j_password，对于用户名和密码我们不需要修改，使用其默认值即可，而验证路径通常我们想使用自定义地址，这就需要在security中进行配 置，后面会看到，这里还会看到如果验证失败，会把失败信息打印出来，就是JSTL的c:if段的作用。下面来看最基本的Security框架作用，拦截 URL请求。在board-security.xml配置如下：

配置文件中首先是对http请求的拦截，这里使用了自动配置auto-config，那么当请求到达时，Security框架会让我们进行身份验证，我们 拦截的url模式已经在其中配置出来，三个请求分别对应不同的权限，而且messageList.htm还开放了匿名访问功能，要提供匿名访问，就要配 置<anonymous>，这里我们配置匿名用户名为guest，角色是ROLE_GUEST，这里的角色都是ROLE_开头，是 Spring Security框架默认使用的，我们不用去更改，这也很清楚。首先我们启动应用，来访问唯一的匿名功能，之后我们看到如下效果：

可以看到，现在的角色是ROLE_GUEST，那么就直接看到，没有验证身份，若我们要发布消息呢，点击Post链接，看看效果：

要求身份验证了，这就说明对url的拦截起作用了，想发布消息，权限不够了，要验证身份了，注意这里这个页面并不是我们前面写的那个页面，而是 Security框架的默认验证页面，为什么没有使用我们所写的页面呢？因为我们还没有配置它啊，当然不会被识别到了。我们来看看默认的页面源码是什么样 子的：

可以看到这里的默认请求路径就是/j_spring_security_check了，不过这里我们已经可以使用我们配置的用户来登录了，之前在配置文件 中的admin和user1，它们拥有的权限不同，那么我们使用user1登录，来发布消息。验证通过，出现消息输入页面：

下面发布消息，之后能看到消息的列表了，这对ROLE_USER的角色都是可以查看的。

没有把Author的信息打印出来，为什么？我们在这里对这个自动进行了限制，来看一下页面是怎么写的：

这里说的是拥有ROLE_ADMIN和ROLE_USER两种角色才能显示author信息，显然我们权限不够了，当然把这里修改为 ifAnyGranted=”ROLE_ADMIN,ROLE_USER”就可以显示出来了，All和Any的区别嘛，很容易理解。还有一个属性是 ifNotGranted，不用说你也会明白它是什么意思了，我们现在修改为ifAnyGranted=”ROLE_ADMIN,ROLE_USER”， 刷新页面，就会看到如下内容了：

其实这已经是在扩展Security框架的视图功能了，就是这么使用的，如果想了解security框架标签库其它标签，那么去参考官方文档吧，因为你已经知道该怎么去套用了。
该试试删除功能了，当前用户角色是ROLE_USER，想删除肯定是不可以的了，那么会是怎么样的效果呢，点击Delete链接，看一下吧：

非常不幸，被拦截下来了，HTTP 403表示没有权限，那么就对了，Security框架起作用了，这就是我们想要的效果了。
Security框架的基本URL拦截到此就说完了，是不是很简单？下面就来定制一些操作吧，我们既然编写了自定义登录页面，得用上吧，还有Logout退出功能没用呢。下面就对这基本的配置进行第一次扩展，我们这样做：

首先去掉auto-config，因为要定制，不让Security按它默认的执行。那么登录验证就配置吧，login-page属性配置的是登录页面， 就是我们前面所写的，login-processing-url就是我们处理登录逻辑的请求地址，默认的是 j_spring_security_check，前面也说过了，default_target_url就是默认的登录成功转向的目标地址，这里是消息列 表页面。最后一个属性是authentication-failure-url，很明白了，就是验证失败转向的页面，这里我们附加一个参数error，页 面里面也有体现，就是用它来控制失败信息的打印的。下面一个是配置退出，logout-success-url就是退出后转向的页面，这里是到登录页面， 没错，退出后回到登录页面。下面来看看效果吧，修改完毕重启Jetty：

由于去掉了匿名访问，那么直接请求messageList.htm就会为我们跳转到登录页面了，进行身份验证，此时我们输入一个错误的信息，看看能捕捉到什么：

验证失败错误会出现Bad credentials，这里不判断是用户不存在还是密码错误，统一是登录凭据错误。输入正确的信息就可以重复上述操作了。使用admin登录成功，会出现：

至此基本的Security拦截操作已经说完了，是不是很简单呢。当然这是测试的，真实应用中我们的用户不可能这么配置，因为都是存放在数据库中的，那么 Security能不能支持数据库用户验证呢？答案是肯定的。只是需要一些扩展配置，这里Security整合了一些数据库验证的操作，要符合 Security的验证模式，那么要么我们重新设计数据库，要么在原有基础之上来修改一下数据库设计。这里我们先看一下Security框架默认支持的数 据库设计吧，就是它默认SQL查询语句所支持的内容。

这两个表明是默认的，这么写Security会自己识别出来，不用我们书写SQL语句了。先来看看表设计吧，就这些信息就够Security进行验证了。

两个表之间有一个外键的关联，是用户名关联，而且我们还进行了md5密码扩展，这也要在Security框架进行配置，在表中插入一些信息，就可以进行数据库验证了，此时Security框架的配置如下，修改认证管理器：

这里我们配置了jdbc数据源和密码编码器，因为连MD5加密方式也是我们自定义的，这样安全系数更高。要使用自定义的加密器，别忘了编写加密器的bean。

加密器类需要实现PasswordEncoder接口，然后编写我们自己的加密方案，加密器很简单，如下设计：

其中使用到的MD5加密类为：

加密工作已经准备好，之前配置的数据源是：

别忘了加入JDBC的驱动程序，之后我们就可以使用数据库用户验证了，剩下的步骤就和前面是一样的了。
至此我们已经了解了Security对标准设置的数据库验证的操作了，下一篇将从非标准的数据库验证开始继续介绍Security框架。欢迎交流，希望对使用者有用。

—————————–

 再次继续深入研究Security框架。
Security对数据库验证用户有两种方式，上文提到的是它默认支持的数据库表结构，但基本上用于实际是不现实的，因为我们的数据库都有自己的业务逻 辑，所以现在来看看怎么在我们自己的数据库上进行Security框架的用户验证整合，这里给出一个比较通用的数据库权限设计结构：

假设我们的数据表名称为b_user和b_userrole，它们的结构如下：

那么表名，字段名和结构都和Security框架默认的不匹配，只好通过SQL语句来让Security框架识别了，在配置文件的数据库验证部分，我们可以这么来写：

在jdbc-user-service中，我们启用了两个属性，其中放置的是SQL语句，就是我们自定义的用户验证方式，将我们的数据库设计和Security框架相匹配，这里的角色一定是在拦截url标签中配置过的，否则Security框架不能识别用户身份。
启动应用程序，发现这和原来的验证效果是一样的，这就是自定义的数据库验证方式了。也非常简单，就是用SQL语句查询结果匹配Security框架，不过这可能要和自己应用的数据库设计做出调整，尽量做到最小调整。
这里补充一点用户验证方式的配置，我们已经使用了在配置文件里配置用户和数据库验证，一种是支持为数不多的用户，一种是支持数据库大量查询的。对于前者， 将配置信息写在XML文件中，和Security框架的配置信息粘在一起，不利于维护。其实Security框架也支持属性文件的配置，我们可以这么来 写：

这里把用户信息都写在了users.properties里，我们来看这个属性配置文件：

这里面名/值对的形式排列的，值的字段比较多，我们来逐个解释。admin/user1是用户名，不用多说，等号后面第一位是密码，这里没有加密。第二位 是状态，这是可选的，默认是enabled，第三位以后就是用户所拥有的角色了，这么使用和前面的效果也是相同的。
用户验证部分基本就这么多内容，这里没有涉及到LDAP相关部分。下面是访问控制的说明，访问控制是Security框架的另一大特性，可以对其进行自定义的扩展，设计符合我们业务逻辑的控制。这比URL拦截又深入了一步，可以过滤的东西又多了。
设计到访问控制，要引入一个概念，谁来决定能否访问，从而进行控制。Security框架中的访问控制管理有三种方案：至少有一个同意访问，全部同意访 问，全部弃权或都同意访问（也就是没有拒绝的）。如何同意？投票产生！Security框架一个可配置的元素就出来了，那就是投票器了。和现实的投票一 样，分同意，反对和弃权三类。
下面我们应用第一类访问控制管理：至少有一个投票器同意访问，在配置文件中这么来设置：

上面是默认需要的认证投票，下面就是我们定制的内容了，用来满足特定需要。在消息发布应用中，有这样一个需求，在服务器上登录的用户，给可以删除消息的权 限，也就是说不用管理员账户登录，也能删除。那么我们就需要对访问进行控制。在服务器本身登录的用户的IP应该是本地地址127.0.0.1，那么只要 IP是它的允许删除，我们来自定义一个投票器来进行投票：

IP地址投票器仅处理属性开头是IP的访问，而支持访问的只能是IP_LOCAL_HOST访问属性。如果访问者的IP是127.0.0.1或者0:0:0:0:0:0:0:1的可以访问，其余的拒绝访问。在配置文件的投票器list中再加入这个类：

之后还要在URL拦截属性中修改配置IP_LOCAL_HOST属性的访问权限：

而且在http中还要配置访问决定管理器，否则是不能识别到IP_LOCAL_HOST的：

此时，在本地用user1用户登录，也具有了删除权限，可以删除文章了。这就是投票器的简单应用了。下面是方法调用安全，这是非常细粒度的安全控制，可以 作用于类的方法，那么也就是说，对一块业务逻辑有权限的用户组，可能允许你能添加而不能删除，他能修改而不能添加和删除，这都是可以实现的，因为这已经细 化到了方法之上了，一个类的某一个方法给你授权访问，其余方法就访问不到，细化到一个功能点上的访问，安全性有很大的提升。先看看对控制器方法的安全访 问，这个配置相对简单，在配置文件中，把安全配置文件和controller的声明放在一起：

这样才能对controller的方法进行控制。不过对方法实行安全控制之后，就没有必要对URL进行拦截了，http配置中的url拦截就都可以去掉了，仅留下登录和退出的就可以了：

虽然这里加入了access-decision-manager-ref=”accessDecisionManager”，但是对方法的安全不是这里做 的，所以这样的话使用user1登录就没有对消息的删除权限了，那么怎么能恢复呢？很简单，在global-method-security中加入它就可 以了。这就完成了对控制器方法的配置，那么因为前面都是注解实现的，所以在方法上配置注解就行了，前面代码很全，这里给出一个示例：

只要在注解方法上表明可访问的权限就能实现拦截了。当然在Service上实现拦截同理可得，只是需要注意一下注解声明的所在配置文件，否则可能无效，这 确实有点不爽。方法拦截除了注解，还有嵌入配置方式和切点配置方式，这两种都是常规做法，参考官方文档就可以了。
最后一点是V层的拦截，这在前面已经提到了，使用的是Security框架的标签库实现的。可用的标签和属性，直接参考官方文档即可，使用也很方便，这里就不过多说明了。
Spring 3的MVC和Security框架的简单整合就介绍完了，没有过深内容，都是基础应用，如果想深入了解，官方文档是最佳的学习资料。本文的示例代码请直接下载，需要Maven环境来支持，关于Maven环境的配置，可以参考Maven构建Java Web开发环境的介绍。
欢迎交流，希望对使用者有用。