我一直在关注春季安全问题并注意到它是一个非常大的包。我想知道是否值得努力花时间来加强这一点。
Spring security 2.0+为您节省了大量时间,还是以任何方式简化了您的项目?
答案 0 :(得分:7)
Spring security 2.0+是否为您节省了大量时间,还是以任何方式简化了您的项目?
对于我的项目,是和是。
这在很大程度上取决于您的安全要求有多简单或复杂。
如果您只需要做一些简单的事情,那么只需阅读与您的问题相关的SpringSecurity文档的 small 部分即可。或者只是从样品中借用东西。
如果你正在做一些复杂的事情,比如与企业LDAP服务交谈或使用OpenID,那么使用SpringSecurity会比从(非弹簧)第三方库开始自己实现更简单。
根据我的经验,无论您如何实施,网站安全性都很复杂且耗时。
答案 1 :(得分:4)
我考虑将它用于几年前的Spring项目,并选择反对它,因为它是一个非常繁重和复杂的框架,它提供的灵活性是不必要的恕我直言。 (据我估计)推出自己的身份验证/授权的工作量减少了。不要误解为这意味着这是一项微不足道的努力;有效的安全永远不会。
从风险的角度来看,在花了一些时间阅读文档之后,我并没有深入理解它,并认为复杂性构成了错误配置的重大风险。它可能比我们构建的“更好”,但如果我们不理解如何正确使用和配置它,那么它就不会辜负它的潜力。我从内到外理解的自定义实现(可能还有“劣等”)安全模块不太关注。
免责声明:Spring Security当时仍称为Acegi,目前的技术可能会随着名称而改变。
答案 2 :(得分:2)
如果替代方案不是安全或写作和维护我自己,我宁愿学习Spring Security。
如果我可以分摊几个项目的学习曲线,那就更好了。