最近在思考一些架构重构相关的问题,遇到一个问题想征求下前辈的意见:
通过页面请求的Filter可以实现权限、日志等功能
同时通过spring的AOP也可以实现类似的功能
我们一般把权限、日志等放在哪里来实现比较好呢?
先说说我的想法:
一、通过页面请求filter处理的优劣分析
1、可以在验权失败时跳转到相关页面,同时给出较为友好的提示
2、可以详细记录下用户访问的页面信息
3、但通过filter处理权限和日志,容易产生疏漏,容易被攻击者绕过
二、通过AOP处理的优劣分析
1、后台校验逻辑,不容易被攻击者绕过
2、坏处是提示信息不够友好
------解决思路----------------------
一般都放在filter来做,filter不会被绕过的,如果filter能绕过那么aop一样能绕过了。
------解决思路----------------------
权限资源拦截的原理就是FILTER(广义-即拦截概念)。
------解决思路----------------------
权限还是用filter的多
------解决思路----------------------
web请求还是基于url的 url必须经过filter 所以在filter做即可