它的好做法是做我自己的安全逻辑吗?

eh57zj3b  于 2021-07-24  发布在  Java
关注(0)|答案(1)|浏览(247)

我正在建立一个电子商务,人们必须在应用程序中注册和登录。我看了一下Spring Security ,我想知道是否可以自己做密码加密,rol管理(我在数据库中有一个表),登录等,我想做我自己的代码。我的意思是用老校风。
我的问题是:你怎么看?我在做坏事。这有什么好处或坏处。?
谢谢

s71maibg

s71maibg1#

执行任何形式的自定义安全逻辑都是不好的做法。
这就是为什么rfcs中定义了安全标准,比如oauth2、basic auth、form login等,以避免定制安全性。
springsecurity有1000个单元测试,它是开源的,已经在成千上万的生产应用程序中进行了战斗测试。经过数百名开发人员的审查,经过几年的改进。
如果执行自定义逻辑,只需要一个关键的bug,您的自定义安全性可能就一文不值了。
你能承受这个风险吗?可能不会。

相关问题