为什么人们不使用<CFLOGIN>？

Question

为什么人们不使用CFLOGIN？我记得几个月前我在CF7上遇到了问题，但我想不起来它出了什么问题。

Answer 1

我一直在使用cflogin，它工作得很好。以你喜欢的方式工作可能有点棘手，但好处是巨大的。能够使用用户角色对您的应用程序进行微调，这将处理我的大部分基于权限的自定义。过去，会话管理存在一些问题，使得它很难使用。打开j2ee会话似乎可以让大多数问题消失。

一些流行的框架与cflogin不兼容，因此这可能是您看不到它的原因之一。它们往往有自己的方法来保护应用程序功能。

我认为很多人对它感到沮丧，因为它有点古怪，他们放弃了它。其他人有更复杂的安全需求，cflogin不能完全解决这些需求，所以他们最终编写了自己的系统。具体地说，没有一种简单的方法来处理内容资产的权利。

Answer 2

我遇到的唯一问题是CF8中的角色。它被很好地实现了，但它并没有像它应该的那样工作，这有点残酷。也许在CF9。

在任何情况下，构建您自己的基于角色的系统(为用户分配一个会话变量，其中包含系统可以检查的访问级别的逗号分隔列表)并不太难，我克服了它。

cfLogin的一个优点可能仍然值得使用，那就是它如何绑定到服务器监视器，以查看有多少人登录，等等。

上面关于使用jsession的观点是正确的，在所有cf应用程序中都值得这样做。我最好的事情之一就是让自己按照我想要的方式工作。

Answer 3

不使用CFLogin有3个原因。

First，它有点敏感，有点奇怪，而且没有多少人会想到的工作原理。你在这里放了一些代码，如果用户没有登录，它就会运行它...太奇怪了，你知道吗？早期也有一些bug，这也无济于事。

Second，虽然它具有web应用程序所需的基本安全功能，但它没有更进一步。你真的不能很容易地扩展它。谁能说这是每个人都想要的呢？

Third，最现实的是，这是因为人们已经解决了这个问题。保护应用程序、身份验证和授权的问题在社区中已经考虑了很长时间，大多数人都知道如何做到这一点。CFLogin正在重新发明门。这太少了，也太迟了。

现在，这并不是说没有人使用它。就我个人而言，我已经使用了几次，基本成功了，但没有理由去熟悉它。对于我的大多数应用程序来说，不使用CFLogin更有意义。问题域是这样或那样的，CFLogin并不总是以最智能的方式解决它。