构建安全框架

Question

我知道有很多安全框架，“构建”一个安全框架不是一个好主意。

在我最近参与的一个项目中，我使用了spring security来保护web应用程序。在这个过程中，我覆盖/调整了一些spring安全类以满足我的需求。

我的管理层现在希望我“取出”我做过的事情，并将其作为可重用的代码分发到内部门户中。

现在，这是一个公平的问题吗？我试着向他们解释，这只是一些建立在spring安全之上的类，没有什么特别的。但他们坚持要“创建”这个框架。

这是否一个公平的要求？对如何开始有什么建议吗？我知道开始使用spring security并非易事。

如果我要构建它，我需要提供哪些功能？

Answer 1

如果他们需要你“带出”你所做的事情，那么他们应该知道他们想让框架做什么。因此，直接向他们询问需求可能更好。

关于：

这是一个公平的要求吗？

答案可能是否定的。如果他们想让你做某事，他们应该给你具体的要求。

Answer 2

就在昨天，我问过有没有人知道一个安全库，它提供了安全apis，但是比spring-security低一点。这意味着一个我调用的库，而不是一个我必须根据它来组织代码的框架(即使用spring上下文)。

因此，我需要一些apis来创建安全的remember me令牌，执行基本的和最困难的身份验证，连接到ldap -或者只是在我可以使用spring安全但没有spring容器的地方)。