@weijancc 同感! Spring 实属业界第一大毒瘤 架构来架构去,架构出一座屎山 逼着 Java 程序员挥汗如雨在屎山上耕耘,都整出斯德哥尔摩综合症了 而且还有患者把这套恶物质向外传播,去污染 Javascript 和 Go ,搞出 js 版/Go 版的“IoC”的奇观
fkdog
17 天前
spring security 从宏观架构上看当然简单,无非就是一连串的 filter 。 复杂在于安全框架涉及的点太多了,可扩展点非常复杂非常多。 单纯的 properties 或者 java config 无法直观的描述这些配置。 于是 spring 自己搞了一堆 configurer api ,实现了 dsl 风格的 java 配置 api 。 虽然配置的可读性提高了,但是要想看下代码,简直就跟天书一样。
xuanbg
17 天前
spring security 从根本上就不应该存在,生拉硬扯出来的怪物,能不复杂么。。。 我自己在 Spring gateway 上实现用户身份验证和 url 鉴权,也就是那么几十行代码的事。而且涉及权限变更也不需要改代码,只需要改数据就行。
为什么说 spring security 不应该存在,道理其实很简单。鉴权你得先授权啊,不同的授权方式就会需要匹配相应的鉴权方式。写死了鉴权方式,但又不给实现授权功能,这用起来不别扭才不正常。那为什么 spring security 不给实现一个授权功能呢?因为它做不知道你的资源和用户,做不了。用户还可以抽象,提供一个基类给你继承就完了。但资源是具体的,抽象不了。