现在在用一套系统,但是权限一块做得非常烂
希望用spring security来管理这套系统
如果在这套系统中直接加spring security的东西,感觉这样不对
我想的是直接用spring security做一个单独的项目,与老系统放在一个tomcat中,然后用spring security去保护老系统中的资源。
不知道这样想方向是否是对的,希望大家能给点意见
对权限要求不严格的情况下,比如“只需要限制URL,而不必做method和acl的控制时”,spring security基本可以做到不侵入式的加入旧有系统。
需要做的只是将旧有系统的用户信息暴露给spring security。
所以如果旧有系统权限比较简单,还是把spring security作为一个模块放入老系统吧,可以参考我们教程中使用spring security做的最简控制台。
[url]http://family168.com/oa/springsecurity/html/ch101-basic.html[/url]
不正确.
只有通过新系统访问资源的时候他可以起到保护作用
老系统自己访问资源的时候没有人管得着
你应该这么做
用spring security做一个单独的模块,扩展性和可插入性比较好的(对架构层面来说)
可以方便地集成到老系统或新项目里使用,这玩意才有价值
spring security做新系统还可以,不过与spring集成到一起配置也非常复杂,老系统基本上无法集成
建议是自己把security做成业务逻辑来实现,只有像web登录这种简单的权限可以用spring security做
权限控制粒度比较细,则还是自己设计一套权限系统.否则用SpringSecurity可以