过滤器或阶段列表器是在 Java EE 6 中实现安全性的好方法吗？

Posted 2023-02-26

【中文标题】过滤器或阶段列表器是在 Java EE 6 中实现安全性的好方法吗？

【英文标题】：Are filters or phase listers a good way to do security in Java EE 6?

【发布时间】：2011-05-18 15:20:01

【问题描述】：

我最近一直在这样做，并且发现它比 XML 地狱（Spring 安全性）或 Glassfish 安全性好得多（因为我不需要组或以某种方式设置表格）。这是保护 Java EE 应用程序的好方法吗？谢谢！

【参考方案1】：

本土的Filter 在正确编写时是完全可行的，但它的可维护性/可重用性较差，因为它与相关的 Web 应用程序紧密耦合。 Java EE 容器管理的安全性和 Spring Security 提供了一个相同的 API，并且可用于每个 Web 应用程序。对于正在处理多个不同项目并希望实现/维护相同项目的开发人员/维护人员来说，这最终可能会更容易。虽然相对容易实现，但本土的Filter 完全违反了DRY。

顺便说一句，我不建议为此使用PhaseListener，因为它只挂钩 JSF 请求，而不是其他请求，如静态 CSS/JS/html 文件和“普通”JSP 文件。