#spring #security #spring-security #password-encryption
#весна #Безопасность #spring-безопасность #пароль-шифрование
Вопрос:
Я создаю электронную коммерцию, где люди должны зарегистрироваться и войти в приложение. Я просматривал Spring Security, мне интересно, можно ли сделать это самостоятельно: шифрование пароля, управление ролями (у меня есть таблица в базе данных), логин и т.д. Я хотел бы сделать для этого свой собственный код. Я имею в виду использовать стиль старой школы.
Мой вопрос: что вы об этом думаете? У меня все плохо. Какие преимущества или недостатки в этом.?
Спасибо
Ответ №1:
Выполнение любой пользовательской логики безопасности всегда является плохой практикой.
Вот почему в RFC определены стандарты безопасности, такие как oauth2, basic auth, form login и т. Д., Чтобы избежать пользовательской безопасности.
Spring security имеет 1000 модульных тестов, имеет открытый исходный код, прошел боевые испытания в тысячах и тысячах производственных приложений. Проверено сотнями разработчиков и улучшено за несколько лет.
При выполнении пользовательской логики все, что требуется, — это одна критическая ошибка, и ваша пользовательская безопасность может оказаться бесполезной.
Можете ли вы позволить себе такой риск? вероятно, нет.
Комментарии:
1. Спасибо за ваш комментарий. С этого момента я буду серьезно относиться к безопасности.
2. пожалуйста, отметьте это как ответ, если вы чувствуете, что он ответил на ваш вопрос.