你对AuthenticationFilter和RequestContext怎么样？

Question

我们正在构建一个部署到tomcat和postgres的GWT+hibernate+spring网络应用程序。看看http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ和示例，我们有一个用户表和一个角色表(首先是4-5个角色)。

应用程序的各个层都需要访问当前登录的用户信息(比如loginId、locale等)，所以我想添加一个AuthenticationFilter来验证每个Http请求，并创建一个包含各种用户属性的ThreadLocal RequestContext。

我还在考虑拥有一个AuthCache，它将存储一个sessionIds和loginIds的ConcurrentHashMap。AuthenticationFilter将使用AuthCache进行身份验证。

我理解security和Apache (http://incubator.apache.org/projects/shiro.html)可能是更好的方法，但我没有多少时间来完成这个任务，所以暂时跳过。

只是想知道是否有更好的方法来做到这一点？是否有这样做正确的现有代码，使我的实现没有很多漏洞?

Answer 1

只是想知道是否有更好的方法来做这件事？是否有这样做正确的现有代码，这样我的实现就不会有很多漏洞？

这可能不是预期的答案，但是Security呢？春季安全需要一些努力，但是

• 只是起作用了
• 它被广泛应用
• 它很可能比自定义开发更安全。

而且，我不认为自定义开发比集成Security花费的时间更短。

以防万一你想重新考虑这个选项，这里有一个小教程。值得一读国际海事组织。

• Spring安全性-教程:将安全性添加到Spring