我在我的应用程序中使用Spring Security。
我保护所有页面。但是需要为系统用户和匿名用户提供几个URL。
但匿名用户不应该直接访问这些网址。如果此令牌有效,他将获得具有唯一令牌的链接并访问某些URL。 我想做的是:
问题是: 如果令牌有效,这是以编程方式对控制器中的某些角色执行用户身份验证的正确方法吗?这是安全的方法吗?
答案 0 :(得分:0)
安全是一个方面。可以将一个方面与主代码(控制器)分离,以减少代码重复并提高灵活性。将身份验证代码从控制器移动到新过滤器(确保此过滤器在spring安全过滤器链之后执行)。您将能够通过web.xml保护新的URL(零行代码)。
答案 1 :(得分:0)
我认为更好的方法是: