Vaadin和Spring安全："/VAADIN/**“路由

Question

我有一个关于Vaadin 8和Spring的应用程序。目前，我正在为这个应用程序添加身份验证。因此，我启用了Security，并开始修改它。基本上，我遵循了本教程：https://vaadin.com/tutorials/securing-your-app-with-spring-security/setting-up-spring-security

这里描述的方法工作得很好，但是，我对/VAADIN/**路径需要公开(否则，Vaadin不起作用)这一事实感到有点不安。我的意思是，当然，我保护了特定页面的路径(例如/admin)，未经身份验证的用户将无法打开它们，但是暴露/VAADIN/**路径不危险吗？如果一些劫机者试图向UI外部的Vaadin发送一些请求(只需curl)，并带有一些特定的头/参数，该怎么办？是否有可能通过某种恶意方式格式化此类请求，从而绕过Security，将数据实际返回给该黑客？

Answer 1

但暴露/VAADIN/**路径不危险吗？

这并不危险。框架本身只有一些通用的部分，比如客户机的静态资源，比如widgetset和主题。话虽如此，这当然是值得注意的应用程序设计。例如，您不应该将包含机密信息的内容作为ThemeResource放在应用程序中，而是使用ClassResource之类的东西。