使用 spring 安全与自定义过滤器的优势?
Advantages of using spring security vs custom filters?
这个问题可能很天真,但我想知道使用 Spring 安全性(或任何其他安全框架)与自定义过滤器 (@WebFilter) 相比,在 Web 应用程序中限制页面有什么优势.在自定义过滤器中,我可以检查用户的会话,查看用户 bean 是否已映射到会话中,然后检查用户 bean 是否具有适当的角色来访问我的限制区域。那么我通过使用 Spring 安全性获得了什么,当然它更安全,如果是这样,那又如何呢?我问是因为我发现它比使用自定义过滤器更难使用。提前致谢。
安全原则:除非您是专家,否则不要推出自己的安全措施。
见https://security.stackexchange.com/questions/18197/why-shouldnt-we-roll-our-own
Spring 伙计们不会坐在那里为自己做准备。他们正在解决实际问题。您可以使用过滤器实现 Spring 安全性的所有功能,但这样您就拥有了 Spring 安全性,不是吗?
您是否正在处理 CSRF 并使其变得方便?
您正在处理会话固定问题吗?
您的过滤器是否处理路径遍历?
您在处理 RunAs 功能吗?
阅读文档并决定是否应该使用它。
这个问题可能很天真,但我想知道使用 Spring 安全性(或任何其他安全框架)与自定义过滤器 (@WebFilter) 相比,在 Web 应用程序中限制页面有什么优势.在自定义过滤器中,我可以检查用户的会话,查看用户 bean 是否已映射到会话中,然后检查用户 bean 是否具有适当的角色来访问我的限制区域。那么我通过使用 Spring 安全性获得了什么,当然它更安全,如果是这样,那又如何呢?我问是因为我发现它比使用自定义过滤器更难使用。提前致谢。
安全原则:除非您是专家,否则不要推出自己的安全措施。
见https://security.stackexchange.com/questions/18197/why-shouldnt-we-roll-our-own
Spring 伙计们不会坐在那里为自己做准备。他们正在解决实际问题。您可以使用过滤器实现 Spring 安全性的所有功能,但这样您就拥有了 Spring 安全性,不是吗?
您是否正在处理 CSRF 并使其变得方便?
您正在处理会话固定问题吗?
您的过滤器是否处理路径遍历?
您在处理 RunAs 功能吗?
阅读文档并决定是否应该使用它。