Question

spring security3可以通过配置<http>中的intercept-url来定制过滤url,可不可以将这部分在类中设置（实现）

Answer 1

intercept-url 这里配置的链接可用正则表达式的，没必要在类里做过滤吧！

追问

我想做成可在数据库中动态添加过滤规则的，需要重写那些类？

追答

你想做的是动态权限吧？你完全可以控制菜单吗？

追问

是的，我想将 管理员可以通过 后台添加某个菜单及其权限，然后将这部分像 intercept-url 那样交给spring security 管理。这可不可实现？

追答

给你个提示：首先所有的访问链接都是需要加权限的，如果像你说的这样，动态过滤的话，那知道其他访问路径的用户岂不也可以直接访问未给他加权限的路径了？
所以说你的思路是错的。
正确的是：系统中所有的url都必须设置到intercept-url中，有权限的就可正常使用功能，没权限的，就提示没有权限，或者把没权限的功能给去掉，就是每个菜单显示的时候可以判断下该用户是否有权限，或者干脆在数据库动态生成这个用户的菜单列表，也是可以的。我建议第一种方法

追问

感谢回答，“知道其他访问路径的用户岂不也可以直接访问未给他加权限的路径” 怎么理解？没有加权限的就表示就表示通用可访问的，加了过滤规则的 就得拥有该资源的访问权限 才可访问。
我想做一个通用的权限管理模块，想将intercept-url 这部分的过滤 自己写类通过读取数据库来完成，理论上效果应该跟在配置文件中设置是一样的。这个思路错了？望指教。

追答

首先你要懂得，spring 的security是双重过滤，就是intercept-url过滤一次，叫全局权限过滤；就是只要访问系统的用户，必须经过这个权限过滤，否则就不能访问；
还有一重过滤就是数据库设置的权限过滤。你只要管好第二重过滤就行了，这样就避免了，没权限的人访问系统了
这样说你明白了吧!咱们只需管理dao查数据库的那个权限就可以了。intercept-url设置的权限完全不必要管，将系统所有url都配置即可

追问

那如果 intercept-url 中的设置是不确定的（即这个通用的权限模块可以随时 移植到其他系统，管理员可视化来编辑权限管理 ，而不是开发者先硬编码写在xml中），那该怎么实现

追答

那你就动态修改配置文件追加就可以了，数据库那个权限是需要和这里配置的url进行匹配的，匹配不上就不能访问。
实现原理你要弄明白

追问

这个思路很好，谢啦。实现原理我是一知半解的，但动态修改配置文件，spring security能更新吗，好像系统得重启吧。

追答

这个配置是需要加载到内存中的，肯定的需要重启服务器了。