我正在建立一个电子商务,人们必须在应用程序中注册和登录。我看了一下Spring Security ,我想知道是否可以自己做密码加密,rol管理(我在数据库中有一个表),登录等,我想做我自己的代码。我的意思是用老校风。我的问题是:你怎么看?我在做坏事。这有什么好处或坏处。?谢谢
s71maibg1#
执行任何形式的自定义安全逻辑都是不好的做法。这就是为什么rfcs中定义了安全标准,比如oauth2、basic auth、form login等,以避免定制安全性。springsecurity有1000个单元测试,它是开源的,已经在成千上万的生产应用程序中进行了战斗测试。经过数百名开发人员的审查,经过几年的改进。如果执行自定义逻辑,只需要一个关键的bug,您的自定义安全性可能就一文不值了。你能承受这个风险吗?可能不会。
1条答案
按热度按时间s71maibg1#
执行任何形式的自定义安全逻辑都是不好的做法。
这就是为什么rfcs中定义了安全标准,比如oauth2、basic auth、form login等,以避免定制安全性。
springsecurity有1000个单元测试,它是开源的,已经在成千上万的生产应用程序中进行了战斗测试。经过数百名开发人员的审查,经过几年的改进。
如果执行自定义逻辑,只需要一个关键的bug,您的自定义安全性可能就一文不值了。
你能承受这个风险吗?可能不会。