Spring 只有一个角色的安全?
Spring Security with only one role?
我正在制作一个 Spring MVC 应用程序,有一些用户,但所有用户只有一个角色 (user_role)。您认为即使在我的应用程序中只扮演一个角色,也有必要实施 Spring 安全性吗?
谢谢,
安全不仅仅是授权(假设我知道用户的情况,他们是否被允许访问资源)。幸运的是,Spring 安全性提供了一种比授权更简单的方法:
安全也与身份验证有关。身份验证是安全地识别用户是谁(即比较 username/password)。这可能看起来微不足道,但请记住,您应该安全地存储密码(即使用 BCrypt), ensure you protect against session fixation attacks, protect against timing attacks 等。所有这些 Spring 安全性都为您提供开箱即用的服务。
Spring 安全有助于防止各种攻击向量(即 CSRF, XSS, Content Sniffing, Click Jacking 等)。您可以自己实施所有这些保护措施,但首先您需要知道攻击的存在(其中许多都受到保护而无需您进行任何额外的工作),然后您需要了解如何保护您的应用程序免受攻击(并保留此最新信息),列表还在继续。
提供defense in depth is critical to security. Spring Security allows you to easily add method based security as well as URL based security.
我正在制作一个 Spring MVC 应用程序,有一些用户,但所有用户只有一个角色 (user_role)。您认为即使在我的应用程序中只扮演一个角色,也有必要实施 Spring 安全性吗?
谢谢,
安全不仅仅是授权(假设我知道用户的情况,他们是否被允许访问资源)。幸运的是,Spring 安全性提供了一种比授权更简单的方法:
安全也与身份验证有关。身份验证是安全地识别用户是谁(即比较 username/password)。这可能看起来微不足道,但请记住,您应该安全地存储密码(即使用 BCrypt), ensure you protect against session fixation attacks, protect against timing attacks 等。所有这些 Spring 安全性都为您提供开箱即用的服务。
Spring 安全有助于防止各种攻击向量(即 CSRF, XSS, Content Sniffing, Click Jacking 等)。您可以自己实施所有这些保护措施,但首先您需要知道攻击的存在(其中许多都受到保护而无需您进行任何额外的工作),然后您需要了解如何保护您的应用程序免受攻击(并保留此最新信息),列表还在继续。
提供defense in depth is critical to security. Spring Security allows you to easily add method based security as well as URL based security.