Grails 如何处理安全性，以及为什么应该使用插件？

Question

对于每个与安全相关的 Grails 教程，90% 的内容都会告诉您将 User 对象存储在会话范围的变量中。这一切都很好很简单，但我想知道这是否好得令人难以置信，尤其是像 这样的插件Spring Security 提供了更多倍的功能。

对于简单的“我是用户，因此我有权查看/编辑我自己的域对象”我开发的应用程序，我将我的用户对象存储在会话中。然而，这让我思考 Grails 如何在其自己的实现中支持 J2EE 安全性和会话（它确实在 cookie 中使用临时会话 ID，对吧？）。此外，它有多容易受到 cookie 注入和跨站点/杂散 JS 等攻击？

我不想真正投入时间来学习、集成和维护可能不需要它的应用程序的插件，所以我的问题是，Grails 的会话实现对于简单的应用程序来说是否足够安全，是否有一个很好的理由即使对于这些琐碎的任务，我也应该使用安全插件吗？

顺便说一句，如果有人能给我指出一个好的 OpenID/Facebook 登录实现，那就太好了。

Answer 1

关于安全问题，我始终建议选择经过验证且广泛采用的解决方案，而不是您自己的滚动安全实施。 Spring Security 成立于 2003 年，名称为 Acegi，为您带来超过八年的安全经验和开发经验。

正如您已经指向 Grails Spring Security 插件一样，您应该看看OpenID 插件 Spring Security OpenID 扩展了 Spring Security Core 并为您带来 OpenID 支持。

Answer 2

为什么即使对于这些琐碎的任务我也应该使用安全插件？

...在基本层面上，使用该插件也很简单，那么有什么损失呢？ 屏幕录像帮助您入门