Да, всегда лучше использовать каркас, а затем снова изобретать все колесо. Я лично предпочитаю Apache Shiro и сделал настройки для удовлетворения моих потребностей, расширив предоставляемые классы.
READ здесь http://shiro.apache.org/
Некоторые моменты Meke вверх ваши средние частоты являются:
Пользовательский код равен пользовательские уязвимости: с веб-приложений, как правило, генерируют большую часть кода приложения самостоятельно (даже при использовании общих рамок и плагины). Это означает, что большинство уязвимостей будут уникальными для вашего приложения. Это также означает, что, если вы не постоянно оцениваете свое приложение, вам некому рассказать вам, когда обнаружена уязвимость в первую очередь.
Вы продавец: Когда появляется уязвимость, вы не будете иметь внешний поставщик, обеспечивающий патч (вы, конечно, должны установить патчи для любых компонентов инфраструктуры, структуры, и среды сценариев, которые вы используете). Если вы предоставляете внешние услуги клиентам, вам может потребоваться выполнить любые соглашения об уровне обслуживания, которые вы предоставляете, и должны быть готовы к их просмотру, так же, как вы смотрите на своих собственных поставщиков программного обеспечения, даже если программное обеспечение не является вашим бизнесом. Вы должны исправлять свои собственные уязвимости, заниматься своими собственными отношениями с клиентами и предоставлять все, что вы ожидаете от тех, кто предоставляет вам программное обеспечение и услуги.
Опора на каркасы/платформы: Мы редко строим наши веб-приложения с нуля в блестящем новом C-коде. Мы используем смесь различных фреймворков, инструментов разработки, платформ и компонентов полки, чтобы собрать их вместе. Мы поставили перед собой задачу защитить и развернуть эти части, а также собственный код, который мы строим, и над ними. Во многих случаях мы создаем проблемы безопасности из-за непреднамеренного использования этих компонентов или взаимодействия между несколькими слоями из-за сложности базового кода. Когда мы можем использовать для всех других частей, почему бы не использовать их для обеспечения безопасности и просто держать и смотреть, если в этой структуре обнаружена какая-либо vurneability и реагирует на обновления, поскольку сообщество может обновляться быстрее и лучше, чем самим собой.