这个问题可能很天真但我想知道使用Spring安全性(或任何其他安全框架)与自定义过滤器(@WebFilter)来限制Web应用程序中的页面有什么好处。在自定义过滤器中,我可以检查用户的会话,查看是否已在会话中映射用户bean,然后检查用户bean是否具有适当的角色来访问我的受限区域。那么通过使用Spring安全性我获得了什么,当然它更安全,如果是这样,那么如何?我问,因为我觉得使用比使用自定义过滤器更难。提前谢谢。
答案 0 :(得分:2)
安全原则:除非您是专家,否则不要自行安全。
请参阅https://security.stackexchange.com/questions/18197/why-shouldnt-we-roll-our-own
春天的家伙并没有坐在那里为自己做好准备。他们正在解决实际问题。你可以用你的过滤器实现Spring Security的所有功能,但是你有Spring Security,不是吗?
您是否正在处理CSRF并使其变得方便?
你在处理会话固定吗?
您的过滤器是否处理路径遍历?
您正在处理RunAs功能吗?
阅读文档并决定是否应该使用它。