基于会话属性的Spring MVC安全性
我使用的是基于会话属性的安全方案。我知道Spring有Acegi安全性,但我没有太多时间来研究这个模块。我只是想分享这个来征求意见 伪代码是这样的基于会话属性的Spring MVC安全性,spring,spring-mvc,spring-security,Spring,Spring Mvc,Spring Security,我使用的是基于会话属性的安全方案。我知道Spring有Acegi安全性,但我没有太多时间来研究这个模块。我只是想分享这个来征求意见 伪代码是这样的 成功登录后,我将在用户会话上设置一个属性。我放置为session属性的对象是一个简单的javabean,具有权限映射 公共类用户信息{ 公共字符串getRole(){}; 公共地图检查权限(){}; //接球手和接球手 } 会话属性还包含用户的角色。(他可能是用户/来宾/管理员/超级管理员)。现在,有某些特权被授权给用户 对于我的JSP,我只是检查用
IF (User Info in Session is 'User' and has this privilege)
Add Button is shown
Else
No Add Button is shown.
我有以下问题:
会话属性仅存储在服务器端,因此它们是安全的 就安全性而言,将这些安全标识符放入会话属性中没有问题。但这是web应用程序安全性的简单部分!最困难的部分是安全基础设施的其余部分,我担心您还没有考虑到这一点
我建议您调查Spring Security。感谢您的快速响应。除了理解诸如在我的web.xml中分配角色之类的事情外,我还没有对安全性给出足够的思考,我觉得这有点混乱。你能告诉我一些关于安全基础设施的其他部分的想法吗?你需要一些单独的授权框架,它将与你的自定义身份验证框架集成。不过,您会发现,Spring安全性基本上就是您现在正在编写的框架。为什么还要这样做?老实说,我对安全一无所知。谢谢你的大力支持。