<!-- 根据session中存放的信息组装ContextHolder。ContextHolder主要用于存放SecureContext，包括用户的权限信息 -->
  <bean id="httpSessionContextIntegrationFilter" class="net.sf.acegisecurity.context.HttpSessionContextIntegrationFilter">
  <!-- 说明： context属性指定context的实现类。 -->
     <property name="context"><value>net.sf.acegisecurity.context.security.SecureContextImpl</value></property>
  </bean>

   <!-- ======================== AUTHENTICATION ======================= -->
   <!--
   （认证管理器）用于管理AuthenticationProvider（认证提供者）。它的作用是使你能够通过多个不同的认证管理源来对用户进行认证。
   认证管理器将依次调用认证提供者的认证方法，直到认证通过。本程序使用两种认证提供者。
    -->
   <bean id="authenticationManager" class="net.sf.acegisecurity.providers.ProviderManager">
      <property name="providers">
         <list>
            <ref local="daoAuthenticationProvider"/> <!-- 基于数据库的认证提供者。 -->
           <ref local="anonymousAuthenticationProvider"/> <!-- 用于认证匿名用户。 -->
         </list>
      </property>
   </bean>

<!--
是认证数据访问对象，它能够从默认的数据库结构中获取用户信息，由于Acegi默认的数据库结构和本程序的不同，
因此需要修改jdbcDaoImpl的默认sql。
注意，采用这种方式能够使Acegi很好的兼容旧的应用程序，因为它对底层的数据结构并没有强制要求。
 -->
   <bean id="jdbcDaoImpl" class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">
     <property name="dataSource"><ref bean="dataSource"/></property> <!-- 数据源bean -->
     <property name="usersByUsernameQuery"> <!-- 用户信息查询sql -->
       <value>SELECT USERNAME, PASSWORD,ENABLED FROM USERINFO WHERE USERNAME=?</value>
     </property>
     <property name="authoritiesByUsernameQuery"> <!-- 用户权限查询sql -->
       <value>
         SELECT username,authority FROM `userinfo` u, `authorities` a,`user_auth` ua
         WHERE u.user_id=ua.user_id
         and a.auth_id=ua.auth_id
         and u.username = ?
       </value>
     </property>
   </bean>

  <bean id="cacheManager" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"/>

  <bean id="userCacheBackend" class="org.springframework.cache.ehcache.EhCacheFactoryBean">
     <property name="cacheManager"> <ref local="cacheManager"/> </property>
     <property name="cacheName"> <value>userCache</value> </property>
  </bean>

<!-- 用于定义用户信息cache功能的提供者 -->
<!-- 本程序采用ehcache作为cache实现。由于认证管理器在每次对http请求进行认证之前都会查找用户信息，
通过使用cache就可以避免每次都重复访问数据库。 -->
  <bean id="userCache" class="net.sf.acegisecurity.providers.dao.cache.EhCacheBasedUserCache">
     <property name="cache"><ref local="userCacheBackend"/></property> <!-- 定义ehcache工厂bean -->
  </bean>

<!--
主要功能是从数据库取出用户名和密码，判断登录信息是否正确，如果是，则取出用户权限等用户信息，
并且存放到cache中，以便以后再次使用。具体流程可以参考：DaoAuthenticationProvider的authenticate方法。
 -->
   <bean id="daoAuthenticationProvider" class="net.sf.acegisecurity.providers.dao.DaoAuthenticationProvider">
      <property name="authenticationDao"><ref local="jdbcDaoImpl"/></property> <!-- 认证数据访问对象，用于获取用户信息，包括：用户名，用户密码，用户状态和用户权限。 -->
      <property name="userCache"><ref local="userCache"/></property> <!-- 用户信息cache实现bean -->
   </bean>

   <!-- Automatically receives AuthenticationEvent messages from DaoAuthenticationProvider -->
   <bean id="loggerListener" class="net.sf.acegisecurity.providers.dao.event.LoggerListener"/>

<!-- 匿名用户处理。如果用户尚未登录，将生成一个匿名用户的Authentication存放到 ContextHolder中 -->
<!-- anonymousProcessingFilter的作用是判断ContextHolder中是否有Authentication对象，如果没有就创建一个Authentication对象，
其中包含的用户名是anonymousUser，用户权限是AUTH_ANONYMOUS。这使得没有登录的匿名用户能够自动的获得匿名的用户名和权限。 -->
  <bean id="anonymousProcessingFilter" class="net.sf.acegisecurity.providers.anonymous.AnonymousProcessingFilter">
     <property name="key"><value>foobar</value></property>
     <property name="userAttribute"><value>anonymousUser,AUTH_ANONYMOUS</value></property>
  </bean>

  <bean id="anonymousAuthenticationProvider" class="net.sf.acegisecurity.providers.anonymous.AnonymousAuthenticationProvider">
     <property name="key"><value>foobar</value></property>
  </bean>

   <!-- ===================== HTTP REQUEST SECURITY ==================== -->
   <!-- 处理认证请求（通常是一个登录页面的表单请求） -->
   <bean id="authenticationProcessingFilter" class="net.sf.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
      <property name="authenticationManager"><ref bean="authenticationManager"/></property> <!-- 认证管理器 -->
      <property name="authenticationFailureUrl"><value>/login.jsp?login_error=1</value></property> <!-- 认证失败后，重定向的url -->
      <property name="defaultTargetUrl"><value>/index.jsp</value></property> <!-- 认证成功后，重定向的url -->
      <property name="filterProcessesUrl"><value>/j_acegi_security_check</value></property>
      <!-- 该过滤器拦截的url，通常是/j_acegi_security_check，和登录页面（login.jsp）的登录表单的action相同 -->
   </bean>

<!-- 强制安全验证过滤器。验证所请求的url是否在用户的权限范围内。 -->
  <bean id="securityEnforcementFilter" class="net.sf.acegisecurity.intercept.web.SecurityEnforcementFilter">
     <property name="filterSecurityInterceptor"><ref local="filterInvocationInterceptor"/></property> <!-- 实现对URL资源进行授权访问。 -->
     <property name="authenticationEntryPoint"><ref local="authenticationProcessingFilterEntryPoint"/></property>
     <!-- 配置登录界面信息。 -->
  </bean>

   <bean id="authenticationProcessingFilterEntryPoint" class="net.sf.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
      <property name="loginFormUrl"><value>/login.jsp</value></property>
      <property name="forceHttps"><value>false</value></property>
   </bean>

  
   <bean id="filterInvocationInterceptor" class="net.sf.acegisecurity.intercept.web.FilterSecurityInterceptor">
      <property name="authenticationManager"><ref bean="authenticationManager"/></property> <!-- 认证管理器 -->
      <property name="accessDecisionManager"><ref local="httpRequestAccessDecisionManager"/></property> <!-- 投票通过策略管理器 -->
      <!-- accessDecisionManager（访问决策管理器）首先通过authenticationManager判断用户是否通过认证（即是否已经登录），
      然后根据objectDefinitionSource的配置信息调用accessDecisionManager对用户权限进行投票。 -->
      <property name="objectDefinitionSource"> <!-- URL的权限配置信息。用于指定不同的URL资源对应的权限。 -->
         <value>
       CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
       PATTERN_TYPE_APACHE_ANT
       /**/*.jpg=AUTH_ANONYMOUS,AUTH_USER
       /**/*.gif=AUTH_ANONYMOUS,AUTH_USER
       /**/*.png=AUTH_ANONYMOUS,AUTH_USER
       /login.jsp*=AUTH_ANONYMOUS,AUTH_USER
      /**=AUTH_USER
         </value>
         <!-- 以上配置指定AUTH_ANONYMOUS权限的用户（即匿名用户）只可以访问图片资源和登录页面，AUTH_USER权限的用户可以访问全部WEB资源。 -->
      </property>
   </bean>

<!-- httpRequestAccessDecisionManager（投票通过策略管理器）用于管理投票通过策略。Acegi提供三种投票通过策略的实现：
AffirmativeBased（至少一个投票者同意方可通过），ConsensusBased（多数投票者同意方可通过），UnanimousBased（所有投票者同意方可通过）。
本程序采用AffirmativeBased策略，并且禁止“没人反对就通过”的投票策略。 -->
  <bean id="httpRequestAccessDecisionManager" class="net.sf.acegisecurity.vote.AffirmativeBased">
     <property name="allowIfAllAbstainDecisions"><value>false</value></property> <!-- 设定是否允许：“没人反对就通过”的投票策略 -->
     <property name="decisionVoters"> <!-- 投票者 -->
        <list>
           <ref bean="roleVoter"/>
        </list>
     </property>
  </bean>

  <!-- 通过设定rolePrefix可以指定roleVoter所支持的权限范围 -->
  <bean id="roleVoter" class="net.sf.acegisecurity.vote.RoleVoter">
  <!-- 该投票者支持的权限前缀，默认是“ROLE_”，本程序所有的权限字符串均以“AUTH_”开头，故设为“AUTH_” -->
    <property name="rolePrefix"><value>AUTH_</value></property>
  </bean>
</beans>