精简版javax.servlet.ServletRequest的方法是否setAttribute(<key>, <Object>)仅用作在 Java 代码中的方法之间传递对象的一种手段？长版假设我有一个javax.servlet.Filter使用 cookie 处理所有登录用户身份验证的实现：在 Spring Boot 中@Component@Order(Ordered.HIGHEST_PRECEDENCE)public class AuthFilter implements Filter {    @Override    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {        Cookie[] cookies = null;        if (request instanceof HttpServletRequest) {            cookies = ((HttpServletRequest) request).getCookies();        }        Optional<User> user = mySessionAuthMethod(cookies);        if (user.isPresent()) {            request.setAttribute("user", user.get());        }        chain.doFilter(request, response);    }}然后，我可以避免在所有 Web API 方法中进行手动身份验证，而只需检查user属性。@RestControllera的方法示例：@RequestMapping(value = "/profile")@CrossOrigin(origins = {MyProperties.ORIGIN}, allowCredentials = "true")public ResponseEntity getProfile(HttpServletRequest request, HttpServletResponse response) {    String user = request.getAttribute("user");    if (user != null) {        return myGetProfileResponse(user);    }    return myNotLoggedInResponse();}我的问题是：这种形式的身份验证安全吗？我的意思是，ServletRequestJava 中唯一添加和使用的属性是用于方法之间的通信，还是可以在到达服务器之前将它们添加到请求中？这种身份验证方式是否使用Filter良好的做法来避免重复代码？附加说明这样做的真正原因不仅仅是身份验证。我还有Filters 需要处理每个请求并将对象传递给Controllers。我绝对想要的是，即使是知道系统实现的人也不能伪造这些对象和信息。