spring security配置

auto-config = true 则使用from-login. 如果不使用该属性 则默认为http-basic(没有session).
相当于：<http>
       <form-login />
       <http-basic />
       <logout />
      </http>
lowercase-comparisons：表示URL比较前先转为小写。
access-denied-page：访问拒绝时转向的页面。
access-decision-manager-ref：指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时，需要自定义访问策略管理器。
login-page：指定登录页面。
login-processing-url：指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为：/j_spring_security_check。
authentication-failure-url：指定了身份验证失败时跳转到的页面。
default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。
always-use-default-target：指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。
logout-url：指定了用于响应退出系统请求的URL。其默认值为：/j_spring_security_logout。
logout-success-url：退出系统后转向的URL。
invalidate-session：指定在退出系统时是否要销毁Session。
max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。
exception-if-maximum-exceeded: 默认为false，此值表示：用户第二次登录时，前一次的登录信息都被清空。  当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。

intercept-url:拦截器,可以设定哪些路径需要哪些权限来访问. filters=none 不使用过滤,也可以理解为忽略
entry-point-ref：
这个入口点其实仅仅是被ExceptionTranslationFilter引用的。前面已经介绍过ExceptionTranslationFilter过滤器的作用是异常翻译，在出现认证异常、访问异常时，通过入口点决定redirect、forward的操作