春季安全可以回答這些需求嗎？

Question

我讀過的功能什麼的Spring Security提供的網站上一點點..

但我只想做潛水前務必下來，甚至我自己的滾動簡單的解決方案，希望從有經驗的開發一些確認的是利用Spring的安全性。

即時通訊目前使用JSF2 + primefaces，spring3，JPA2 + hibernate的

我有這方面的需求發展：

1. 擁有的用戶列表，用戶組
2. 的需要對用戶進行認證在登錄時（這是非常基本的，它必須已經被支持）
3. 安全系統可以配置爲模塊（java項目的包或者可以看作UI中的菜單/程序），所以如果用戶被配置爲能夠訪問al l菜單1和菜單3中的程序，菜單4中只有1個程序，則僅顯示允許的菜單，直接訪問不允許的菜單/程序URL將導致錯誤。
4. 需要在服務方法（純java方法）上對用戶進行身份驗證，如只讀級別，r/w級別。例如，如果我們可以配置該公共無效保存（...）以獲得r/w訪問權限，則只有具有r/w訪問權限的用戶纔可以調用此方法
5. 甚至可以在JSF 2 xhtml上擴展此功能，在那裏我可以使用r或r/w訪問來啓用/禁用按鈕或鏈接或其他東西，也許編程方式使用jsf組件的disabled屬性。
6. 如果某些功能如驗證程序或服務方法是使用AOP透明地完成的，而不污染業務流程代碼，則會更好。

請在此分享您的意見..

謝謝！

Answer 1

Spring Security將支持您的大部分要求。

1. 您可以使用該角色。例如：USER，ADMIN，CONTRIBUTOR等。請參閱http://static.springsource.org/spring-security/site/docs/3.0.x/reference/technical-overview.html
2. 您可以使用 嵌套在安全配置的http元素中的form-login元素。請參閱http://static.springsource.org/spring-security/site/docs/3.0.x/reference/ns-config.html#ns-getting-started
3. 在視圖方面，您可以控制誰在使用JSP時使用taglibs。請參閱http://static.springsource.org/spring-security/site/docs/3.0.x/reference/taglibs.html然後在服務器端，確保發出特定呼叫的人有權這樣做。您可以在URL級別和方法級別進行控制。例如，對於URL，您有嵌套在http中的intercept-url元素。您可以使用@Secured註釋保護方法
4. 不確定您對特定方法的讀寫意味着什麼，但是如＃3所述，您可以使用註釋來保護方法
5. 不確定JSF可以讓您這樣做，但是如果你使用的JSP，您可以使用標籤庫像以前
6. 您說應該可以這樣做，但我不能爲你提供任何例子雖然。我也想在這個上看別人。