在 SpringBoot 項目中,Spring Security 和 Shiro 該如何選擇?
要知道Shiro和Spring Security該如何選擇,首先要看看兩者的區(qū)別和對比
Shiro
Apache Shiro是一個強(qiáng)大且易用的Java安全框架,能夠非常清晰的處理認(rèn)證、授權(quán)、管理會話以及密碼加密。使用Shiro的易于理解的API,您可以快速、輕松地獲得任何應(yīng)用程序,從最小的移動應(yīng)用程序到最大的網(wǎng)絡(luò)和企業(yè)應(yīng)用程序。
執(zhí)行流程
圖片
特點
易于理解的 Java Security API; 簡單的身份認(rèn)證(登錄),支持多種數(shù)據(jù)源(LDAP,JDBC,Kerberos,ActiveDirectory 等); 對角色的簡單的簽權(quán)(訪問控制),支持細(xì)粒度的簽權(quán); 支持一級緩存,以提升應(yīng)用程序的性能; 內(nèi)置的基于 POJO 企業(yè)會話管理,適用于 Web 以及非 Web 的環(huán)境; 異構(gòu)客戶端會話訪問; 非常簡單的加密 API; 不跟任何的框架或者容器捆綁,可以獨(dú)立運(yùn)行。
Spring Security
Spring Security 主要實現(xiàn)了Authentication(認(rèn)證,解決who are you? ) 和 Access Control(訪問控制,也就是what are you allowed to do?,也稱為Authorization)。Spring Security在架構(gòu)上將認(rèn)證與授權(quán)分離,并提供了擴(kuò)展點。它是一個輕量級的安全框架,它確保基于Spring的應(yīng)用程序提供身份驗證和授權(quán)支持。它與Spring MVC有很好地集成 ,并配備了流行的安全算法實現(xiàn)捆綁在一起。
執(zhí)行流程
圖片
客戶端發(fā)起一個請求,進(jìn)入 Security 過濾器鏈。 當(dāng)?shù)?LogoutFilter 的時候判斷是否是登出路徑,如果是登出路徑則到 logoutHandler ,如果登出成功則到 logoutSuccessHandler 登出成功處理,如果登出失敗則由 ExceptionTranslationFilter ;如果不是登出路徑則直接進(jìn)入下一個過濾器。 當(dāng)?shù)?UsernamePasswordAuthenticationFilter 的時候判斷是否為登錄路徑,如果是,則進(jìn)入該過濾器進(jìn)行登錄操作,如果登錄失敗則到 AuthenticationFailureHandler 登錄失敗處理器處理,如果登錄成功則到 AuthenticationSuccessHandler 登錄成功處理器處理,如果不是登錄請求則不進(jìn)入該過濾器。 當(dāng)?shù)?FilterSecurityInterceptor 的時候會拿到 uri ,根據(jù) uri 去找對應(yīng)的鑒權(quán)管理器,鑒權(quán)管理器做鑒權(quán)工作,鑒權(quán)成功則到 Controller 層否則到 AccessDeniedHandler 鑒權(quán)失敗處理器處理。
特點
shiro能實現(xiàn)的,Spring Security 基本都能實現(xiàn),依賴于Spring體系,但是好處是Spring全家桶的親兒子,集成上更加契合,在使用上,比shiro略負(fù)責(zé)。
兩者對比
Shiro比Spring Security更容易使用,也就是實現(xiàn)上簡單一些,同時基本的授權(quán)認(rèn)證Shiro也基本夠用
Spring Security社區(qū)支持度更高,Spring社區(qū)的親兒子,支持力度和更新維護(hù)上有優(yōu)勢,同時和Spring這一套的結(jié)合較好。
Shiro 功能強(qiáng)大、且 簡單、靈活。是Apache 下的項目比較可靠,且不跟任何的框架或者容器綁定,可以獨(dú)立運(yùn)行。
我的看法
如果開發(fā)的項目是Spring這一套,用Spring Security我覺得更合適一些,他們本身就是一套東西,順暢,可能略微復(fù)雜一些,但是學(xué)會了就是自己的。如果開發(fā)項目比較緊張,Shiro可能更合適,容易上手,也足夠用,Spring Security中有的,Shiro也基本都有,沒有的部分網(wǎng)上也有大批的解決方案。
如果項目沒有使用Spring這一套,不用考慮,直接Shiro。
同時要考慮團(tuán)隊成員的技術(shù)棧,更加熟悉使用哪個,在選型上,也要盡量避免給同行增加不必要的學(xué)習(xí)成本!
—END— 最近熬夜給大家準(zhǔn)備了515套Java代碼,有一些是業(yè)務(wù)類的小項目,比如Java博客項目,也有腳手架、也有平時用一些的工具類、21套小程序代碼,也有一些游戲類的項目。
掃以下二維碼并回復(fù)“828”即可獲取
(如下圖所示)
