Spring Security优劣之我见

太复杂了.
如果一个技术方案,你不能在一张图上把它说清楚.
那么最好不要用它.
以后会陷进去的,拔不出来了就.

Acegi的角色部分确实有点不理想， 还规定必须要以ROLE_开头作为角色名， 不然它不识别。害的我们还需要Adapt一下。

spring security的最大优点就是可以自己做自己想要的功能，然后通过过滤器方式装载进去，你说的只是官方发布的demo而已，真正开发，都是进过自己改造的，没有人原封不动的拿来用。

其实我个人去年研究了一下acegi 也发现这个东西可以说不灵活也可以说是灵活的（看起来），，其实就是个半成品，，关于用户 角色这些都可以自己扩展接口 拥有自己的实现，，但是我对于他在方法方面的保护就很不满意，，一个标注固定了角色。。

   这个也好解决。我现在自己做的一套方案 页面现实控制得还算灵活，想隐藏也好，禁用也罢都可以，在保护方法方面也是延续spring security 的思想，，，自己写个标注，，然后再去读标注的信息，想怎么做就怎么做。。我看上面各位所说的灵活性 是应该支持的，，我们可以基于spring security 去改他的实现，也可以延用他的思想做自己的东西，，，其中过滤器还是核心。。。。只要过滤到请求了，你想怎么验证都你自己说了算。。。。

   在数据权限方面我没什么思路暂时，不知各位有实现的可否交流一下。。

同感，在处理细粒度的时候，不太好实现

我仔细看过他的源代码。最后得出的结论是：先确定自己的权限模型，不要一想到权限管理 ，就去想怎么套spring security。往往大家都是把问题复杂化了。