• Pre-Invocation Handling

    AbstractSecurityInterceptor调用AccessDecisionManager来做最终的资源访问控制的决定。下面我们来仔细看一下AccessDecisionManager这个接口，它包含如下三个方法：

    Acegi提供了三个具体的类去管理投票结果，他们三个的不同存在于对投票结果的统计上。ConsensusBased类根据非弃权票中同意和反对的数量来决定是否通过。在同意和反对票相同时或都投弃权票时可以根据设置来决定授权与否。AffirmativeBased类只要有一个或多个投票赞成就会给予通过，同样我们可以设置在都投弃权票的时候是否通过。UnanimousBased类会在所有的非弃权票都投赞成票时才通过，同样的设置出现在都投弃权票的时候。

    Acegi提供了AccessDecisionVoter的两个实现类。对于RoleVoter，我们需要配置它的rolePrefix属性（如ROLE_），当ConfigAttribute以rolePrefix开头时，RoleVoter才投票，否则投弃权票（ACCESS_ABSTAIN）。开始投票时，如果存在一个GrantedAuthority和被访问资源的一个或多个ConfigAttributes完全匹配时，投赞成票，否则投反对票。

• After Invocation Handling

    AbstractSecurityInterceptor调用AccessDecisionManager来决定资源（业务或domain对象）的访问。有时候，我们还需要在访问资源后进行一些操作，例如对返回数据的再加工。实际上，在Spring里使用AOP是很容易实现的，但Acegi提供了更加方便的类使我们对访问后资源进行操作。

    同访问前控制类似，访问后控制由AfterInvocationManager管理，下面是它的实现类图：

    可以看到，AfterInvocationManager接口和AccessDecisionManager接口有着相似的方法。需要注意的是，AfterInvocationManager的decide方法的参数包含了一个returnedObject，这个就是业务方法执行后返回的结果，我们可以对其进行再次的加工。

    AfterInvocationProviderManager是用于管理Provider的，我们可以配置多个Provider，每个Provider都个对返回结果进行操作，操作顺序由配置顺序决定。上一个Provider的结果会传到下一个Provider。

   配置完AfterInvocationProviderManager，一定要把它注入到MethodSecurityInterceptor里。