最近在研究sPRing security。之前搭建了一個簡單的spring security3項目，成功運行后，想試試spring security4.想來應該不用多麻煩，結果在準備不足的情況下，發現security4的框架搭建起來，也沒問題，但是就是登陸不上。這個問題困擾了我3天，于是上網查資料，發現4和3還是有很多不一樣的地方。在這里將升級到security4的時候遇到的問題記錄下來。

1、call refresh...之類的問題

這個是很低級的問題。我出現這種問題有兩個原因。一個是schema和xsd沒有升級。由于配置是拷貝原來的3的，用正在4里schema自然要換成對應的版本。

還有一個原因是里面有中文注釋。去掉中文注釋就好。如果一定要加注釋，英文好的人用英文表述，英文不要的就用品音吧。

2、md5鹽加密。

密碼自然不可能明文存放。MD5+salt現在已經是很多人在用的情況了。但是spring security的UserDetail類不含salt這個屬性，解決方法有幾種：

1、使用username作為鹽。這種方式其實不推薦，因為UserDetail自帶的屬性不多，而且相對固定的更少。

2、編寫org.springframework.security.core.userdetails.User 的子類。我就是采取這種方式，多加了一個salt屬性。這樣可以在自己的UserDetailService實現類中將salt封裝進去并返回。在配置文件中的saltSource中寫salt這個屬性完全沒問題。

3、關于csrf

<input type="text" name="${_csrf.parameterName}" id=""  value="${_csrf.token}"/>這樣表單提交之后才能正常驗證。不加的話會一直返回403，顯示access Denied。我這個對網站安全沒研究的人就是這個原因被困了幾天。其他發現再更新。