Spring Security的安全性如何?在Web应用程序中使用Spring Security用于银行系统或类似的东西是否足够好?
答案 0 :(得分:20)
Spring Security本身非常好。它被广泛使用,任何问题都以高优先级排序。但是,与大多数技术一样,如果您使用不当,您的应用程序将不安全。
如果我以“最安全的方式”使用它,是否足够安全? - 是
答案 1 :(得分:3)
早期版本的Spring安全性(当天称为acegi)需要相当多的配置,因此可能会遗漏某些内容并在安全性方面留下漏洞。最新版本显着降低了复杂性,现在使用合理的默认值。
然而,Spring仍然保持极其灵活和可扩展性,这为开发人员提供了强大的动力,但是一如既往,权力伴随着责任。就Spring安全而言,一点点知识是一件危险的事情,我强烈建议您在进行任何自定义之前对框架有一个很好的理解。参与forums并让社区同行评审代码/定制的高风险区域也是一个好主意。
我们已经为美国和欧洲的许多银行和其他金融机构实施了Spring安全性,所以从这个意义上讲,它绝对是“适合目的”
答案 2 :(得分:2)
Spring安全性是Spring框架提供的最好的东西之一,它非常有能力处理身份验证和授权。
面临的挑战是如何正确地建模,并将框架的正确关键元素放在正确的位置。我试图在我的一篇博客文章中说明其功能,请参阅http://www.nimblegeek.com/2012/08/role-base-application-modelling-using.html
答案 3 :(得分:0)
小心将Spring Security应用于需要高级别安全性的应用程序,例如银行安全系统。首先,请注意使用强大的加密方法保护您的应用程序并保护数据通道。然后你可以将它集成到一些框架,如Spring Security。