使用弹簧安全与自定义过滤器的优势？

Posted 2023-02-27

【中文标题】使用弹簧安全与自定义过滤器的优势？

【英文标题】：Advantages of using spring security vs custom filters?

【发布时间】：2015-07-15 21:46:00

【问题描述】：

这个问题可能很幼稚，但我想知道使用 Spring 安全性（或任何其他安全性框架）与自定义过滤器（@WebFilter）来限制 web 应用程序中的页面有什么优势。在自定义过滤器中，我可以检查用户的会话，查看用户 bean 是否已在会话中映射，然后检查用户 bean 是否具有适当的角色来访问我的受限区域。那么通过使用 Spring 安全性，我可以获得什么，肯定它更安全，如果是，那么如何呢？我问是因为我发现它比使用自定义过滤器更难使用。提前致谢。

【参考方案1】：

安全原则：除非您是专家，否则不要自行设置安全性。

见https://security.stackexchange.com/questions/18197/why-shouldnt-we-roll-our-own

春天的人不会坐在那里为自己准备工作。他们正在解决实际问题。您可以使用过滤器实现 Spring Security 的所有功能，但是您将拥有 Spring Security，不是吗？

您是否正在处理 CSRF 并使其方便？

您正在处理会话固定吗？

您的过滤器是否处理路径遍历？

您在处理 RunAs 功能吗？

阅读文档并决定是否应该使用它。