spring security详解

    <sec:http auto-config='true' access-denied-page="/access_denied.do">
        <sec:intercept-url pattern="**/*.css" filters="none" />
        <sec:intercept-url pattern="/" filters="none" />
        <sec:logout logout-success-url="/login.do" invalidate-session="true" />
        <sec:form-login login-page="/login.do" authentication-failure-url="/login.do?error=true"
                     always-use-default-target="true" default-target-url="/index.do" />
        <sec:remember-me data-source-ref="haiyuDataSource" />
    </sec:http>
    下边这些是标签属性说明:
配置说明：
  lowercase-comparisons：表示URL比较前先转为小写。
  path-type：表示使用Apache Ant的匹配模式。
  access-denied-page：访问拒绝时转向的页面。
  access-decision-manager-ref：指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时，需要自定义访问策略管理器。
  login-page：指定登录页面。
  login-processing-url：指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为：/j_spring_security_check。
  authentication-failure-url：指定了身份验证失败时跳转到的页面。
  default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。
  always-use-default-target：指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。
  logout-url：指定了用于响应退出系统请求的URL。其默认值为：/j_spring_security_logout。
  logout-success-url：退出系统后转向的URL。
  invalidate-session：指定在退出系统时是否要销毁Session。
  max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。
  exception-if-maximum-exceeded: 默认为false，此值表示：用户第二次登录时，前一次的登录信息都被清空。
  当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。