为什么有人赞成在网址上实施非身份验证过滤器,而不是在staticRules w / permitAll下允许它?从安全的角度来看,有什么区别吗?
他们在我看来也是如此。
由于
答案 0 :(得分:1)
进行安全检查会产生非零开销。在大多数情况下,成本很小,但取决于检查的内容,可能会占用更多资源,即使每个请求的成本都很小,累积成本也会很高,尤其是当您考虑到这一点时应用程序安全检查针对每个请求运行,包括favicon,以及所有CSS,JS和图像文件。
使用SecurityContext重新填充Authentication也需要付出代价;通常这是根据存储在HTTP会话中的数据配置的,但它可能更复杂,甚至需要数据库访问或远程调用。
插件中没有直接支持这一点,您需要使用类似于您展示的链接的解决方法,但我计划添加对2.0 final的支持;见this JIRA issue。