java-从Filter中的数据库对用户进行身份验证是一种好习惯吗?

我正在为Android App创建Rest API(Spring Boot项目).从数据库对用户进行身份验证的理想方法应该是什么?
1.在控制器类中查询数据库
2.在过滤器类中查询数据库
3.使用Spring Security

    public class TokenValidationFilter implements Filter {

        Connection connection = null; 

        @Override
        public void doFilter(ServletRequest request, 
            ServletResponse response, FilterChain chain)
          throws IOException, ServletException {
            final String accessToken = req.getHeader("accessToken");
            final String userId = req.getHeader("userId");

            // Do Sql Query to Authenticate User
        }

        @Override
        public void init(FilterConfig filterConfig) throws ServletException {}
 }
最佳答案
您不需要添加自己的过滤器.

当您使用Spring Security时,它仅通过添加一个过滤器来工作,例如BasicAuthenticationFilter.除此之外,它还允许您管理自己需要做的事情.

例如,它允许您通过SecurityContextHolder.getContext().getAuthentication()的简单方式使用Authenticated主体,因为它基于ThreadLocal起作用,您可以在代码中的任何地方使用它.

如何管理不同URL的授权?还是管理CORS配置?

使用框架配置Spring安全性时,通过简单的构建器模式就可以实现所有这些功能.

另外,如果您以后想要使用OAuth,则将其与安全框架集成在一起,可以通过使用AuthorizationServer和ResourceServer使其非常轻松地工作.

即使是最简单的基本身份验证配置,也应该使用安全框架,而不是使用定制解决方案进行身份验证.

您还可以认为,安全框架还集成了其他功能,例如审核由哪个用户修改的数据库事务等.

您将在自己的Filter中编写的内容(以及将来将要重构的内容)已写在框架中供您使用.

转载注明原文:java-从Filter中的数据库对用户进行身份验证是一种好习惯吗? - 代码日志