我正在创建一个Spring MVC应用程序,有一些用户,但只有一个角色(user_role)。您是否认为有必要实施Spring Security,即使在我的应用程序中只扮演一个角色?
谢谢,
答案 0 :(得分:1)
安全不仅仅是授权(假设我知道用户是怎样的,他们是否允许访问资源)。幸运的是,Spring Security提供了一种不仅仅是授权的简单方法:
安全性也与身份验证有关。身份验证可以安全地识别用户是谁(即比较用户名/密码)。这可能看似微不足道,但请记住,您应该安全地存储密码(即使用BCrypt),确保您防范session fixation attacks,防范timing attacks等。所有这些Spring Security都提供开箱即用。
Spring Security可以帮助防范各种攻击媒介(例如CSRF,XSS,Content Sniffing,Click Jacking等。您可以自己实现所有这些保护,但首先您需要知道存在的攻击(其中许多是受保护的,无需任何额外的工作),然后您需要了解如何保护您的应用程序免受攻击(并保持这一点)最新信息,列表继续。
提供defense in depth对安全至关重要。 Spring Security允许您轻松添加method based security以及URL based security。