在 SpringBoot 项目中,Spring Security 和 Shiro 该如何选择?

点击上方 好好学java ,选择 星标 公众号

重磅资讯,干货,第一时间送达
今日推荐:推荐19个github超牛逼项目!个人原创100W +访问量博客:点击前往,查看更多

要知道Shiro和Spring Security该如何选择,首先要看看两者的区别和对比

Shiro

Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

执行流程

图片

特点

  1. 易于理解的 Java Security API;

  2. 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等);

  3. 对角色的简单的签权(访问控制),支持细粒度的签权;

  4. 支持一级缓存,以提升应用程序的性能;

  5. 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;

  6. 异构客户端会话访问;

  7. 非常简单的加密 API;

  8. 不跟任何的框架或者容器捆绑,可以独立运行。

Spring Security

Spring Security 主要实现了Authentication(认证,解决who are you? ) 和 Access Control(访问控制,也就是what are you allowed to do?,也称为Authorization)。Spring Security在架构上将认证与授权分离,并提供了扩展点。它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring MVC有很好地集成 ,并配备了流行的安全算法实现捆绑在一起。

执行流程

图片

  1. 客户端发起一个请求,进入 Security 过滤器链。

  2. 当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理,如果登出失败则由 ExceptionTranslationFilter ;如果不是登出路径则直接进入下一个过滤器。

  3. 当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler 登录失败处理器处理,如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器。

  4. 当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器处理。

特点

shiro能实现的,Spring Security 基本都能实现,依赖于Spring体系,但是好处是Spring全家桶的亲儿子,集成上更加契合,在使用上,比shiro略负责。

两者对比

Shiro比Spring Security更容易使用,也就是实现上简单一些,同时基本的授权认证Shiro也基本够用

Spring Security社区支持度更高,Spring社区的亲儿子,支持力度和更新维护上有优势,同时和Spring这一套的结合较好。

Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行。

我的看法

如果开发的项目是Spring这一套,用Spring Security我觉得更合适一些,他们本身就是一套东西,顺畅,可能略微复杂一些,但是学会了就是自己的。如果开发项目比较紧张,Shiro可能更合适,容易上手,也足够用,Spring Security中有的,Shiro也基本都有,没有的部分网上也有大批的解决方案。

如果项目没有使用Spring这一套,不用考虑,直接Shiro。

同时要考虑团队成员的技术栈,更加熟悉使用哪个,在选型上,也要尽量避免给同行增加不必要的学习成本!

推荐文章
更多项目源码
  • 1
    点赞
  • 1
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

<p> <span style="font-size:16px;">本课程是一门具有很强实践性质的“项目实战”课程即“</span><span style="font-size:16px;">企业台系统实战</span><span style="font-size:16px;">”主要包含三大块核心内容如下图所示(右键可以新标签页打开图片放大查看):</span><span></span> </p> <p> <span style="font-size:16px;"><img src="https://img-bss.csdn.net/201912071527496867.jpg" alt="" /><br /> </span> </p> <p style="text-align:center;"> <span style="font-size:16px;"></span> </p> <p> <span style="font-size:16px;">即主要包含以下三大块内容:</span><span><br /> <span style="font-size:16px;"> ① </span></span><span style="font-size:16px;">企业内部应用系统菜单资源操作权限的统一管理;</span><span></span> </p> <p> <span style="font-size:16px;">② 分布式应用系统通信时的统一授权即基于</span><span style="font-size:16px;">AccessToken</span><span style="font-size:16px;">的授权与认证;</span><span></span> </p> <p> <span style="font-size:16px;">③ 分布式服务</span><span style="font-size:16px;">/</span><span style="font-size:16px;">系统通信时的两大方式(基于</span><span style="font-size:16px;">dubbo rpc</span><span style="font-size:16px;">协议基于</span><span style="font-size:16px;">http</span><span style="font-size:16px;">协议的</span><span style="font-size:16px;">restful api</span><span style="font-size:16px;">实战)。</span><span></span> </p> <p> <span style="font-size:16px;"> </span> </p> <p> <span style="font-size:16px;">值得一提的是这套台系统由于讲解了如何统一管理企业内部各大应用系统的“菜单资源列表”、“操作权限”故而本门课程的“代码实战”是建立之前</span><span style="font-size:16px;">debug</span><span style="font-size:16px;">录制的“企业权限管理平台”这套课程的基础之上的故而这里</span><span style="font-size:16px;">debug</span><span style="font-size:16px;">建议没有项目开发基础的小伙伴可以先去学习我的那套“企业权限管理平台”的实战课程之后再来学习我的这套台系统的实战才不会很吃力</span><span style="font-size:16px;">(</span><span style="font-size:16px;">课程链接:</span><span><a href="http://www.fightjava.com/web/index/course/detail/8"><span style="font-size:16px;"></span></a><span style="font-size:16px;">)</span></span> </p> <p> <span style="font-size:16px;"> </span> </p> <p> <span style="font-size:16px;">本课程的课程大纲如下图所示<span style="font-size:16px;">(右键可以新标签页打开图片放大查看)</span>:</span><span></span> </p> <p style="text-align:center;"> <img src="https://img-bss.csdn.net/201912071528406564.png" alt="" /> </p> <p> <span style="font-size:16px;"> </span> </p> <p> <span style="font-size:16px;">除此之外这套“台系统”由于统一管理了企业内部各大应用系统的“菜单资源操作权限”以及“应用系统之间通信时的统一授权”故而难免需要涉及到“台系统”与“台子系统”、“台子系统”与“台子系统”之间的通信(即分布式服务之间的通信)这里我们是采用“</span><span style="font-size:16px;">dubbo + zookeeper</span><span style="font-size:16px;">”的方式加以落地实现的详情如下图所示<span style="font-size:16px;">(右键可以新标签页打开图片放大查看)</span>:</span><span></span> </p> <p style="text-align:center;"> <img src="https://img-bss.csdn.net/201912071529091933.png" alt="" /> </p> <p> <span style="font-size:16px;"> </span> </p> <p> <span style="font-size:16px;">而众所周知作为一款知名以及相当流行的分布式服务调度间件</span><span style="font-size:16px;">,dubbo</span><span style="font-size:16px;">现如今已经晋升为</span><span style="font-size:16px;">Apache</span><span style="font-size:16px;">顶级的开源项目未来也仍将成为“分布式系统”开发实战的一大利器如下图所示为</span><span style="font-size:16px;">dubbo</span><span style="font-size:16px;">底层核心系统架构图<span style="font-size:16px;">(右键可以新标签页打开图片放大查看)</span>:</span><span></span> </p> <p style="text-align:center;"> <img src="https://img-bss.csdn.net/201912071529213194.png" alt="" /> </p> <p> <span style="font-size:16px;">而这门“台系统实战”的课程我们也将始终贯彻、落地</span><span style="font-size:16px;">dubbo</span><span style="font-size:16px;">的这一核心系统架构图如何台系统开发的服务注册</span><span style="font-size:16px;">/</span><span style="font-size:16px;">发布到注册心</span><span style="font-size:16px;">zookeeper</span><span style="font-size:16px;">台子系统如何订阅</span><span style="font-size:16px;">/</span><span style="font-size:16px;">消费</span><span style="font-size:16px;">/</span><span style="font-size:16px;">调度台系统发布</span><span style="font-size:16px;">zookeeper</span><span style="font-size:16px;">的接口服务台子系统走</span><span style="font-size:16px;">http</span><span style="font-size:16px;">协议调度通信时</span><span style="font-size:16px;">dubbo</span><span style="font-size:16px;">如何进行拦截、基于</span><span style="font-size:16px;">token</span><span style="font-size:16px;">认证接口的调用者等等这些内容我们课程将一一得到代码层面的实战落地!</span><span></span> </p> <p> <span style="font-size:16px;"> </span> </p> <p> <span style="font-size:16px;">下图为本课程涉及到的分布式系统</span><span style="font-size:16px;">/</span><span style="font-size:16px;">服务之间 采用“</span><span style="font-size:16px;">http</span><span style="font-size:16px;">协议</span><span style="font-size:16px;">restful api</span><span style="font-size:16px;">”方式通信时的</span><span style="font-size:16px;">Token</span><span style="font-size:16px;">授权、认证的流程图<span style="font-size:16px;">(右键可以新标签页打开图片放大查看)</span></span><span style="font-size:16px;">:</span> </p> <p style="text-align:center;"> <img src="https://img-bss.csdn.net/201912071529314254.png" alt="" /> </p> <p> <span style="font-size:16px;">而不夸张地说</span><span style="font-size:16px;">基于</span><span style="font-size:16px;">AccessToken</span><span style="font-size:16px;">的授权、认证方式</span><span style="font-size:16px;">现如今微服务、分布式时代系统与系统通信期间最为常用的“授权方式”了可想而知掌握其的流程思想是多么的重要!</span><span></span> </p> <p> <span style="font-size:16px;"> </span> </p> <p> <span style="font-size:16px;">以下为本门课程的部分截图<span style="font-size:16px;">(右键可以新标签页打开图片放大查看)</span>:</span><span></span> </p> <p style="text-align:center;"> <img src="https://img-bss.csdn.net/201912071529555340.png" alt="" /> </p> <p> <span style="font-size:16px;"> <img src="https://img-bss.csdn.net/201912071530115079.png" alt="" /></span> </p> <p> <span style="font-size:16px;"> <img src="https://img-bss.csdn.net/201912071530297642.png" alt="" /></span> </p> <p> <span style="font-size:16px;"><img src="https://img-bss.csdn.net/201912071530495573.png" alt="" /><br /> </span> </p> <p> <span style="font-size:16px;">核心技术列表</span><span style="font-size:16px;">:</span> </p> <p> <span style="font-size:16px;">值得一提的是由于本门课程是一门真正介绍“台思想”以及将“台思想”“分布式系统开发实战”相结合落地的课程故而学完本门课程之后可以掌握到的核心技术自然是相当多的。主要由</span><span style="font-size:16px;">SpringBoot2.0</span><span style="font-size:16px;">、</span><span style="font-size:16px;">SpringMVC</span><span style="font-size:16px;">、</span><span style="font-size:16px;">Mybatis</span><span style="font-size:16px;">、</span><span style="font-size:16px;">Dubbo</span><span style="font-size:16px;">、</span><span style="font-size:16px;">ZooKeeper</span><span style="font-size:16px;">、</span><span style="font-size:16px;">Redis</span><span style="font-size:16px;">、</span><span style="font-size:16px;">OkHttp3</span><span style="font-size:16px;">、</span><span style="font-size:16px;">Guava-Retrying</span><span style="font-size:16px;">重试机制、</span><span style="font-size:16px;">JWT(Json Web Token)</span><span style="font-size:16px;">、</span><span style="font-size:16px;">Shiro</span><span style="font-size:16px;">、分布式集群</span><span style="font-size:16px;">session</span><span style="font-size:16px;">共享、</span><span style="font-size:16px;">Lombok</span><span style="font-size:16px;">、</span><span style="font-size:16px;">Stream API</span><span style="font-size:16px;">、</span><span style="font-size:16px;">Dubbo-Filter</span><span style="font-size:16px;">以及</span><span style="font-size:16px;">ServiceBean</span><span style="font-size:16px;">等等。如下图所示<span style="font-size:16px;">(右键可以新标签页打开图片放大查看)</span>:</span><span></span> </p> <img src="https://img-bss.csdn.net/201912071531014403.jpg" alt="" /><br />
相关推荐
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值