Spring Security 之初体验

Spring Security 之初体验

 

Spring Security最大的作用

 

      1. 认证:通过前端传过来的userName、password,验证是否成功

      2. 授权:对login后的用户进行授权,再在对应的controller方法上加上访问权限

 

 

 

工作原理

 

       login成功后会返回一个叫SESSIONID的cookie给前端,前端每次请求的时候,都将这个cookie传给后端进行验证,看其有效性(session是否超时,服务器是否重启)。有效并且有权限就可以访问相应url,如果不行就报错。

 

 

 

优点

 

      1. 提供了一套权限框架,这套框架是可行的;

      2. 提供了很多用户身份认证功能,可以节约大量开发工作;

      3. 提供了角色判断功能,这点既是优点又是缺点;

      4. 提供了form-login、remember me等控制。

 

 

 

缺点

 

      1. 角色被“编码”到配置文件和源文件,这样最终用户就不能创建角色了。但最终用户期望自己来控制角色。因为在项目实施过程中,客户可能并不能确定有哪些角色,以及角色怎么分配给系统用户。角色大多需要等到系统上线后,才能确定。这些编码有:

          

          (1)url的权限控制,<intercept-url pattern="/**" access="ROLE_USER" />;

          (2)java方法的权限控制,@Secured("IS_AUTHENTICATED_ANONYMOUSLY");

          (3)java方法的权限控制,<protect method="set*" access="ROLE_ADMIN" />;

      

      2. RBCA这种被广泛运用的模型,没有在Spring Security体现出来;

 

      3. Spring Security没有提供好的细粒度(数据级)权限方案,提供的缺省实现维护工作量大,在大数据量情况下,几乎不可用;

      

      4. Spring Security对于用户、角色、权限之间的关系,没有提供任何一种维护界面。不过从Spring Security角度看,确实没有必要有界面。角色创建、角色和权限直接的关系,都被“编码”到配置文件和源文件了;

 

      5. Spring Security学习难度大,配置文件还是很多。我承认有很多高手,但我们也看到有很多新人加入软件开发领域。付出如此大的学习代价,获得这么一点点好处,个人觉得并不值得。

 

 

 

以后学习参考:

http://blog.csdn.net/column/details/springsecurity.html

http://www.iteye.com/blogs/subjects/spring_security

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值