【问题标题】:Advantages of using spring security vs custom filters?使用弹簧安全与自定义过滤器的优势?
【发布时间】:2015-07-15 21:46:00
【问题描述】:

这个问题可能很幼稚,但我想知道使用 Spring 安全性(或任何其他安全性框架)与自定义过滤器(@WebFilter)来限制 web 应用程序中的页面有什么优势。在自定义过滤器中,我可以检查用户的会话,查看用户 bean 是否已在会话中映射,然后检查用户 bean 是否具有适当的角色来访问我的受限区域。那么通过使用 Spring 安全性,我可以获得什么,肯定它更安全,如果是,那么如何呢?我问是因为我发现它比使用自定义过滤器更难使用。提前致谢。

【问题讨论】:

    标签: security jakarta-ee spring-security


    【解决方案1】:

    安全原则:除非您是专家,否则不要自行设置安全性。

    https://security.stackexchange.com/questions/18197/why-shouldnt-we-roll-our-own

    春天的人不会坐在那里为自己准备工作。他们正在解决实际问题。您可以使用过滤器实现 Spring Security 的所有功能,但是您将拥有 Spring Security,不是吗?

    您是否正在处理 CSRF 并使其方便?

    您正在处理会话固定吗?

    您的过滤器是否处理路径遍历?

    您在处理 RunAs 功能吗?

    阅读文档并决定是否应该使用它。

    【讨论】:

      猜你喜欢
      • 2014-05-30
      • 2018-11-09
      • 1970-01-01
      • 2016-06-25
      • 1970-01-01
      • 2017-03-18
      • 2017-03-18
      相关资源
      最近更新 更多