回答
几年前我考虑将它用于Spring项目,并选择反对它,因为它是一个非常繁重和复杂的框架,它提供的灵活性并不是必需的。 (按我的估计)减少我们自己的认证/授权的努力。不要误解这是一个微不足道的努力;永远不会有效的安全。
从风险的角度来看,我花了一段时间的文档后并没有深入理解它,并认为复杂性代表了配置错误的重大风险。它可能比我们建造的“更好”,但是如果我们不了解如何正确使用和配置它,那么它将无法实现它的潜力。自我理解的自定义实施(也可能是“低级”)安全模块不那么重要。
免责声明:当时Spring Security仍被称为Acegi,当前的技术可能随着名称发生了变化。
如果替代方案没有安全性或者写作和维护我自己的,我宁愿学习Spring Security。
如果我可以分摊几个项目的学习曲线,那么更好。
这个答案是否包含任何信息? – irreputable 2010-08-12 00:13:12
“....我想知道是否值得努力花时间来加强这个......” - 它确实提供了关于这个问题的一个观点。这比你提供的没有任何价值。 – duffymo 2010-08-12 00:26:28
春季安全2.0+为您节省了大量时间,还是以任何方式简化了您的项目?
对于我的项目,是的,是的。
这很大程度上取决于您的安全要求有多简单或复杂。
如果你只需要做简单的事情,你可以只读取SpringSecurity文件,是有关你的问题的小部分脱身。或者只是从样本中借用一些东西。
如果您正在做复杂的事情,比如说与企业LDAP服务或使用OpenID,那么使用SpringSecurity将会非常简单,从(非弹性)第三方库开始自己实现。
根据我的经验,体面的网站安全是复杂和耗时的,不管你如何实现它。
我们对某些涉及相当特定安全性(通过第三方Java API的LDAP/X509身份验证和授权)的项目使用Spring Security 2.0+,虽然它不适合我们的开箱即用需求,但它的可扩展性非常好。只需很少的子类和一些配置,我们就能得到我们想要的。我认为Spring Security 2.0+是节省时间的。 – gpeche 2010-08-30 14:00:02
- 1. “记得我”弹簧安全的价值
- 2. 记得我弹簧安全
- 3. 弹簧安全
- 4. MVP for android。这是值得的努力?
- 5. MonoDroid是值得付出的努力吗?
- 6. Neo4j弹簧安全
- 7. Angular2与弹簧靴和弹簧安全
- 8. 弹簧启动弹簧安全
- 9. 在弹簧安全与弹簧websocket集成弹簧安全性和
- 10. grails中的弹簧安全
- 11. 弹簧安全钩是什么意思?
- 12. 弹簧视图安全
- 13. AOP弹簧安全错误
- 14. 旁路弹簧安全
- 15. 休眠+弹簧安全
- 16. Keycloak和弹簧安全
- 17. 弹簧安全和Struts 2
- 18. 弹簧安全与速度?
- 19. SAML2 AngularJs弹簧安全
- 20. 弹簧安全和VAADIN
- 21. 弹簧安全登录总是得到访问被拒绝
- 22. 值得努力学习D吗?
- 23. 弹簧安全打开弹出登录
- 24. 弹簧数据安全与弹簧安全 - 找到所有当前用户
- 25. 弹簧安全2.0.7和弹簧2.5的登录表单问题
- 26. 弹簧安全定制Authenticator在弹簧/弹簧安全版本升级后未被调用
- 27. 努力用pip安装pygtk
- 28. REST API的弹簧安全性
- 29. REST和JSF的弹簧安全性
- 30. 弹簧安全与我自己的表
ACEGI确实值得得出这个结论,但Spring Security自那时起经历了一次重大的重构。这值得再次考虑。 – duffymo 2010-08-12 00:27:47
我的感受是一样的。我不知道这个兔子洞有多深。我知道我需要在深层次上理解这样的东西,才能有效和安全。 选择什么样的解决方案,它也需要足够简单,以便团队中的初级开发人员能够理解。如果没有人能够理解并应用它,它就不是很安全。 – clarson 2010-08-12 01:57:44
2.x和3.0中的SpringSecurity“命名空间”扩展对简单用例具有*显着*简化的配置。 (他们可以为复杂的用例提供更多的命名空间钩子,但这是一个不同的鱼群。) – 2010-08-12 02:11:35