Какие модули Java получают Spring Security

Question

У меня есть классическое Java SOA-приложение с модулем веб-интерфейса, модулем веб-служб, модулем службы (Java API), модулем домена и модулем постоянства. В каком-то смысле каждый из этих модулей имеет свой собственный публичный API.

Насколько я понимаю, в Spring Security я могу использовать веб-фильтры для обеспечения безопасности веб-интерфейса и веб-служб, а также безопасности на уровне методов (с помощью аннотаций) для служебного модуля.

У меня такой вопрос: стоит ли добавлять безопасность уровня метода к модулю домена и модулю персистентности или это считается избыточным?

Answer 1

Если вы защищаете внешние API, обычно не требуется защищать дополнительные внутренние уровни, такие как модель домена или уровень персистентности DAO.

Но все зависит от ваших требований безопасности. Добавление ролей безопасности к вашим методам во внутреннем API сделает его более безопасным и может считаться хорошей защитной практикой против дыр в безопасности вашего открытого API.