本文演示了Spring Security的最最基本用法，二个页面（或理解成二个url）,一个需要登录认证后才能访问（比如：../admin/），一个可匿名访问（比如：../welcome）

注：以下内容参考了 http://www.mkyong.com/spring-security/spring-security-hello-world-example/

一、利用STS(Spring Tools Suite)创建一个Spring MVC Project

如果不想使用STS，在普通Eclipse上安装Spring Tool Suite插件也行，用Spring插件创建项目的好处在于，很多配置已经自动帮我们生成好了，基本的项目架子已经具备，不需要在这上面花太多心思，下面是项目结构图

 pom文件中的dependencies

pom.xml

二、Controller

HelloController

毫无撸点，二个普通的Action而已，分别对应视图admin.jsp以及hello.jsp

三、web.xml

web.xml

稍做解释一下：看似一大堆，但其实除了34-43行需要手动添加之外，其它全是STS工具自动生成的，34-43行通过添加一个过滤器，对每个请求进行“拦截”处理。

此外注意里面配置的几个xml文件

/WEB-INF/spring/root-context.xml 这是Spring-beans的核心主文件

/WEB-INF/spring/appServlet/servlet-context.xml 这是Spring-MVC的入口Servlet配置文件
 

四、servlet-context.xml

servlet-context.xml

这个是工具自动生成的，主要用来处理Spring-MVC的相关内容，跟Security其实没啥关系

五、root-context.xml

root-context.xml

这个看似乎平淡无奇，但其实包含了“配置模块化”的思想，通过import，把跟Security相关的配置，单独放在另一个xml文件中，然后import进来，配置文件特别多的时候，这样可以使Spring的配置看上去更有条理

六、spring-security.xml

spring-security.xml

这才是Security的精华所在，8-10行，表示“/admin”请求需要ROLE_USER角色的用户才能访问，12-18行配置了一个用户yjmyzz，以及密码123456，并将该用户授于ROLE_USER角色（当然：这里只是演示，实际应用中，更常见的做法是将用户名、密码放到数据库中）

七、admin.jsp及hello.jsp

hello.jsp

hello.jsp

admin.jsp

admin.jsp

 二个常规页面，唯一值得注意的是17行的a链接： j_spring_security_logout，是Spring Security默认生成的logout地址，除非开发人员有其它设置，否则默认退出地址就是它

运行效果：

访问/welcome时，毫无阻力

访问/admin时，会重定向到Spring Security自动生成的login页面 spring_security_login

在登录页面输入yjmyzz/123456后，自动跳转到登录前的页面 /admin

最后：附示例源代码：SpringSecurity-HelloWorld-XML(0717).zip