关于java:在微服务项目中Spring-Security-比-Shiro-强在哪

61次阅读

共计 4486 个字符,预计需要花费 12 分钟才能阅读完成。

尽管目前 Spring Security 一片炽热,然而 Shiro 的市场仍然存在,明天我就来略微的说一说这两个框架的,不便大家在理论我的项目中抉择适宜本人的平安治理框架。

首先我要申明一点,框架无所谓好坏,要害是适宜以后我的项目场景,作为一个年老的程序员更不应该一视同仁,或者回绝学习某一个框架。

小孩子才做选择题,成年人两个都要学!

所以接下来次要联合我本人的教训来说一说这两个框架的优缺点,没有提到的中央也欢送大家留言补充。

1. Spring Security


1.1 因为 SpringBoot 而火

Spring Security 并非一个新生的事物,它最早不叫 Spring Security,叫 Acegi Security,叫 Acegi Security 并不是说它和 Spring 就没有关系了,它仍然是为 Spring 框架提供平安反对的。事实上,Java 畛域的框架,很少有框架可能脱离 Spring 框架独立存在。

当 Spring Security 还叫 Acegi Security 的时候,尽管性能也还能够,然而实际上这个货色并没有宽泛风行开来。最重要的起因就是它的配置太过于繁琐,过后网上流传一句话:“每当有人要应用 Acegi Security,就会有一个精灵死去。”足见 Acegi Security 的配置是如许可怕。直到明天,当人们谈起 Spring Security 的时候,仍然在吐槽它的配置繁琐。

起初 Acegi Security 投入 Spring 的怀抱,改名叫 Spring Security,事件才缓缓开始发生变化。新的开发团队始终在尽力简化 Spring Security 的配置,Spring Security 的配置相比 Acegi Security 的确简化了很多。然而在最后的几年里,Spring Security 仍然无奈失去宽泛的应用。

直到有一天 Spring Boot 像谜个别呈现在江湖边缘,彻底颠覆了 JavaEE 的世界。一人得道鸡犬升天,自从 Spring Boot 火了之后,Spring 家族的产品都被带了一把,Spring Security 就是受益者之一,从此飞上枝头变凤凰。

Spring Boot/Spring Cloud 当初作为 Java 开发畛域最最支流的技术栈,这一点大家应该都没有什么异议,而在 Spring Boot/Spring Cloud 中做平安治理,Spring Security 无疑是最不便的。

你想爱护 Spring Boot 中的接口,增加一个 Spring Security 的依赖即可,事件就搞定了,所有接口就爱护起来了,甚至不须要一行配置。

有小伙伴可能感觉这个太抽象了,我再举一个理论点的例子。

在微服务架构的我的项目中,咱们可能应用 Eureka 做服务注册核心,默认状况下,Eureka 没有做平安治理,如果你想给 Eureka 增加平安治理,只须要增加 Spring Security 依赖,而后在 application.properties 中配置一下用户名明码即可,Eureka 就主动被爱护起来了,他人无奈轻易拜访;而后各个微服务在注册的时候,只须要把注册地址改为 http://username:password@localhost:8080/eureka 即可。相似的例子还有 Spring Cloud Config 中的平安治理。

在微服务这种场景下,如果你想用 Shiro 代替 Spring Security,那 Shiro 代码量相对十分可观,Spring Security 则能够非常容易的集成到当初风行的 Spring Boot/Spring Cloud 技术栈中,能够和 Spring Boot、Spring Cloud、Spring Social、WebSocket 等十分不便的整合。

所以我说,因为 Spring Boot/Spring Cloud 火爆,让 Spring Security 跟着沾了一把光。

1.2 配置臃肿吗?

「有的人感觉 Spring Security 配置臃肿。」

如果是 SSM + Spring Security 的话,我感觉这话有肯定情理。

然而如果是 Spring Boot 我的项目的话,其实并不见得臃肿。Spring Boot 中,通过自动化配置 starter 曾经极大的简化了 Spring Security 的配置,咱们只须要做大量的定制的就能够实现认证和受权了。

「有人感觉 Spring Security 中概念简单。」这个是这样的,没错。

Spring Security 因为性能比拟多,反对 OAuth2 等起因,就显得比拟重量级,不像 Shiro 那样轻便。

然而如果换一个角度,你可能会有不一样的感触。

在 Spring Security 中你会学习到许多平安治理相干的概念,以及常见的平安攻打。这些平安攻打,如果你不是 web 平安方面的专家,很多可能存在的 web 攻打和破绽你可能很难想到,而 Spring Security 则把这些平安问题都给咱们列举进去并且给出了相应的解决方案。

所以我说,咱们学习 Spring Security 的过程,也是在学习 web 平安,各种各样的平安攻打、各种各样的登录形式、各种各样你能想到或者想不到的平安问题,Spring Security 都给咱们列举进去了,并且给出了解决方案,从这个角度来看,你会发现 Spring Security 如同也不是那么让人厌恶。

1.3 联合微服务的劣势

除了后面和大家介绍的 Spring Security 劣势,在微服务中,Spring 官网推出了 Spring Cloud Security 和 Spring Cloud OAuth2,联合微服务这种分布式个性,能够让咱们更加不便的在微服务中应用 Spring Security 和 OAuth2,松哥后面的 OAuth2 系列实际上都是基于 Spring Cloud Security 来做的。

能够看到,Spring 官网始终在积极进取,让 Spring Security 可能更好的集成进微服务中。

2. Shiro


接下来咱们再说说 Apache Shiro。

Apache Shiro 是一个开源平安框架,提供身份验证、受权、密码学和会话治理。Shiro 框架具备直观、易用等个性,同时也能提供强壮的安全性,尽管它的性能不如 Spring Security 那么弱小,然而在惯例的企业级利用中,其实也够用了。

2.1 由来

Shiro 的前身是 JSecurity,2004 年,Les Hazlewood 和 Jeremy Haile 开办了 Jsecurity。过后他们找不到实用于应用程序级别的适合 Java 平安框架,同时又对 JAAS 十分悲观,于是就搞了这个货色。

2004 年到 2008 年期间,JSecurity 托管在 SourceForge 上,贡献者包含 Peter Ledbrook、Alan Ditzel 和 Tim Veil。

2008 年,JSecurity 我的项目奉献给了 Apache 软件基金会(ASF),并被接收成为 Apache Incubator 我的项目,由导师治理,指标是成为一个顶级 Apache 我的项目。期间,Jsecurity 曾短暂更名为 Ki,随后因商标问题被社区更名为“Shiro”。随后我的项目继续在 Apache Incubator 中孵化,并减少了贡献者 Kalle Korhonen。

2010 年 7 月,Shiro 社区公布了 1.0 版,随后社区创立了其项目管理委员会,并选举 Les Hazlewood 为主席。2010 年 9 月 22 日,Shrio 成为 Apache 软件基金会的顶级我的项目(TLP)。

2.2 有哪些性能

Apache Shiro 是一个弱小而灵便的开源平安框架,它干净利落地解决身份认证,受权,企业会话治理和加密。Apache Shiro 的首要指标是易于应用和了解。平安有时候是很简单的,甚至是苦楚的,但它没有必要这样。框架应该尽可能覆盖简单的中央,露出一个洁净而直观的 API,来简化开发人员在应用程序平安上所破费的工夫。

以下是你能够用 Apache Shiro 所做的事件:

  1. 验证用户来核实他们的身份
  2. 对用户执行访问控制,如:判断用户是否被调配了一个确定的平安角色;判断用户是否被容许做某事
  3. 在任何环境下应用 Session API,即便没有 Web 容器
  4. 在身份验证,访问控制期间或在会话的生命周期,对事件作出反应
  5. 汇集一个或多个用户平安数据的数据源,并作为一个繁多的复合用户“视图”
  6. 单点登录(SSO)性能
  7. 为没有关联到登录的用户启用 ”Remember Me” 服务

Apache Shiro 是一个领有许多性能的综合性的程序平安框架。上面的图表展现了 Shiro 的重点:

Shiro 中有四大基石——身份验证,受权,会话治理和加密。

  1. Authentication:有时也简称为“登录”,这是一个证实用户是谁的行为。
  2. Authorization:访问控制的过程,也就是决定“谁”去拜访“什么”。
  3. Session Management:治理用户特定的会话,即便在非 Web 或 EJB 应用程序。
  4. Cryptography:通过应用加密算法放弃数据安全同时易于应用。

除此之外,Shiro 也提供了额定的性能来解决在不同环境下所面临的平安问题,尤其是以下这些:

  1. Web Support:Shiro 的 web 反对的 API 可能轻松地帮忙爱护 Web 应用程序。
  2. Caching:缓存是 Apache Shiro 中的第一层公民,来确保安全操作疾速而又高效。
  3. Concurrency:Apache Shiro 利用它的并发个性来反对多线程应用程序。
  4. Testing:测试反对的存在来帮忙你编写单元测试和集成测试。
  5. “Run As”:一个容许用户假如为另一个用户身份(如果容许)的性能,有时候在治理脚本很有用。
  6. “Remember Me”:在会话中记住用户的身份,这样用户只须要在强制登录时候登录。
2.3 学习材料

Shiro 的学习材料并不多,没看到有相干的书籍。张开涛的《跟我学 Shiro》是一个十分不错的材料,小伙伴能够搜寻理解下。也能够在公众号后盾回复 2TB,有相干的视频教程。

2.4 劣势和劣势

就目前而言,Shiro 最大的问题在于和 Spring 家族的产品进行整合的时候十分不便,在 Spring Boot 推出的很长一段时间里,Shiro 都没有提供相应的 starter,起初尽管有一个 shiro-spring-boot-web-starter 进去,然而其实配置并没有简化多少。所以在 Spring Boot/Spring Cloud 技术栈的微服务项目中,Shiro 简直不存在劣势。

然而如果你是传统的 SSM 我的项目,不是微服务项目,那么无疑应用 Shiro 是最不便省事的,因为它足够简略,足够轻量级。

3. 如何取舍

在公司里做开发,这两个要如何取舍,还是要思考蛮多货色的。

首先,如果是基于 Spring Boot/Spring Cloud 的微服务项目,Spring Security 无疑是最不便的。

如果是就是一般的 SSM 我的项目,那么 Shiro 基本上也够用。

另外,抉择技术栈的时候,咱们可能也要思考团队内工程师的技术栈,如果工程师更善于 Shiro,那么无疑 Shiro 是适合的,毕竟让工程师去学习一门新的技术,一来可能影响我的项目进度,而来也可能给我的项目埋下许多未知的雷。

对于咱们集体来说,小孩子才做选择题,成年人两个都要学。

正文完
 0