Я смотрел на весеннюю безопасность и замечал, как ее довольно большой пакет. Мне интересно, стоит ли тратить время на то, чтобы нарастать.- весенняя безопасность стоит усилий
имеет весеннюю безопасность 2.0+ сэкономил вам много времени или упростил ваш проект в любом случае?
Я подумал о том, чтобы использовать его для проекта Spring пару лет назад, и отказался от него, потому что это была чрезвычайно тяжелая и сложная структура, и гибкость, которую она предоставляет, просто не была необходима ИМХО. Это было (по моей оценке) меньше усилий, чтобы свернуть собственную аутентификацию/авторизацию. Не ошибитесь в этом, поскольку это означает, что это было тривиальное усилие; эффективной защиты никогда не бывает.
С точки зрения риска, я не понимал этого глубоко, потратив некоторое время на документацию, и решил, что сложность представляет собой значительный риск неправильной конфигурации. Это может быть «лучше», чем то, что мы построили, но если мы не понимаем, как правильно его использовать и настроить, то он не будет соответствовать его потенциалу. Специально реализованный (и, возможно, «неполный») модуль безопасности, который я понимаю наизнанку, в меньшей степени касается.
Предупреждение: Spring Security по-прежнему называлась Acegi в то время, и текущая технология, возможно, изменилась вместе с названием.
Если альтернатива не является защитой или письмом и поддерживает мою собственную, я бы лучше изучил Spring Security.
Если я могу амортизировать кривую обучения по нескольким проектам, тем лучше.
Этот ответ содержит любую информацию? – irreputable
«.... Мне интересно, стоит ли тратить время, чтобы ускорить это ...» - он предлагает один взгляд на этот вопрос. Это стоит больше, чем ничего, что вы предоставили. – duffymo
Имеет ли весна безопасность 2.0+ сэкономил вам много времени или упростил ваш проект?
Для моего проекта да и да.
Это очень зависит от того, насколько просты или сложны ваши требования безопасности.
Если вам нужно только делать простые вещи, вы можете уйти с только чтением небольшой части документации SpringSecurity, которая имеет отношение к вашей проблеме. Или просто заимствовать материал из образцов.
Если вы делаете сложные вещи, например, разговариваете с корпоративной службой LDAP или используете OpenID, то использование SpringSecurity будет намного проще, если вы начнете реализовывать вещи самостоятельно, начиная с (non-spring) сторонних библиотек.
По моему опыту, достойная безопасность на сайте сложна и требует много времени, независимо от того, как вы ее реализуете.
Мы используем Spring Security 2.0+ для некоторого проекта с довольно специфической безопасностью (аутентификация и авторизация LDAP/X509 через сторонний Java API), и, хотя это не соответствовало нашим потребностям, его расширяемость была отличной. С очень небольшим подклассом и некоторой конфигурацией мы получили именно то, что хотели. Я думаю, что Spring Security 2.0+ - это экономия времени. – gpeche
ACEGI заслужил этот вывод, но с тех пор Spring Security претерпела значительный рефакторинг. Стоит еще раз подумать. – duffymo
мои чувства одинаковы. Я не знаю, насколько глубока кроличья дыра в этот момент. Я знаю, что мне нужно понять что-то подобное на глубоком уровне, чтобы быть эффективным и безопасным с ним. какое решение выбрано, оно также должно быть достаточно простым, чтобы его понимали младшие разработчики в команде. Это не очень безопасно, если никто другой не может понять это и применить его. – clarson
Расширение пространства имен SpringSecurity в версиях 2.x и 3.0 имеет * значительно упрощенную конфигурацию для простых случаев использования. (Они могли бы предоставить больше крючков пространства имен для сложных прецедентов, но это другой чайник рыбы.) –