人们经常问如何将安全的url（secured URLs）和安全元数据（security metadata)属性之间的映射存储在数据库中，而不是在应用程序上下文中。

第一件事你应该问问自己，你是否真的需要这样做。如果一个应用程序需要安全，那么它还需要根据定义的策略对安全性进行彻底地测试。在投入生产环境之前，它可能需要审计和验收测试。一个有安全意识的组织应该意识到，通过允许在运行时改变一行或两行配置数据库来修改安全设置，他们勤奋的测试过程所带来的好处可能会立即消失。如果你已经考虑到了这一点(可能在应用程序中使用了多重安全层)，那么Spring security允许你完全定制安全元数据的来源。如果你选择，你可以让它完全动态化。

方法和web安全都通过AbstractSecurityInterceptor的子类来保护，AbstractSecurityInterceptor配置了一个SecurityMetadataSource，它获取特定方法或过滤器调用（filter invocation）的元数据。对于web安全，拦截器类FilterSecurityInterceptor使用标记接口FilterInvocationSecurityMetadataSource。"secured object"类型是一个FilterInvocation。在一个in-memory map中使用默认的实现(在< http >命名空间和显式配置拦截器时，存储URL模式列表和相应的“配置属性”(ConfigAttribute的实例)列表）。

加载另一个源的数据，你必须使用一个显式声明的安全过滤器链(通常是Spring security的FilterChainProxy)以便定制FilterSecurityInterceptor bean。你不能使用名称空间。自由使用特定的FilterInvocation来加载数据，你必须实现FilterInvocationSecurityMetadataSource，一个非常基本的梗概会看起来像这样：

public class MyFilterSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

        public List<ConfigAttribute> getAttributes(Object object) {
            FilterInvocation fi = (FilterInvocation) object;
                String url = fi.getRequestUrl();
                String httpMethod = fi.getRequest().getMethod();
                List<ConfigAttribute> attributes = new ArrayList<ConfigAttribute>();

                //使用这个信息查找数据库并填充属性列表

                return attributes;
        }

        public Collection<ConfigAttribute> getAllConfigAttributes() {
            return null;
        }

        public boolean supports(Class<?> clazz) {
            return FilterInvocation.class.isAssignableFrom(clazz);
        }
    }

需要更多信息，看DefaultFilterInvocationSecurityMetadataSource的代码。

FilterInvocation对象包含HttpServletRequest，所以你可以获得URL或任何其他相关的信息，基于你的决定将返回属性列表所包含的内容。