文章内容:SpringSecurity和Shiro区别及用法
作者:优极限
Apache Shiro是一个弱小且易用的Java平安框架,可能十分清晰的解决认证、受权、治理会话以及明码加密。应用Shiro的易于了解的API,您能够疾速、轻松地取得任何应用程序,从最小的挪动应用程序到最大的网络和企业应用程序。
执行流程
特点
- 易于了解的 Java Security API;
- 简略的身份认证(登录),反对多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等);
- 对角色的简略的签权(访问控制),反对细粒度的签权;
- 反对一级缓存,以晋升应用程序的性能;
- 内置的基于 POJO 企业会话治理,实用于 Web 以及非 Web 的环境;
- 异构客户端会话拜访;
- 非常简单的加密 API;
- 不跟任何的框架或者容器捆绑,能够独立运行。
Spring Security
Spring Security 次要实现了Authentication(认证,解决who are you? ) 和 Access Control(访问控制,也就是what are you allowed to do?,也称为Authorization)。Spring Security在架构上将认证与受权拆散,并提供了扩大点。它是一个轻量级的平安框架,它确保基于Spring的应用程序提供身份验证和受权反对。它与Spring MVC有很好地集成 ,并装备了风行的平安算法实现捆绑在一起。
执行流程
- 客户端发动一个申请,进入 Security 过滤器链。
- 当到 LogoutFilter 的时候判断是否是登出门路,如果是登出门路则到 logoutHandler ,如果登出胜利则到 logoutSuccessHandler 登出胜利解决,如果登出失败则由 ExceptionTranslationFilter ;如果不是登出门路则间接进入下一个过滤器。
- 当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录门路,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler 登录失败处理器解决,如果登录胜利则到 AuthenticationSuccessHandler 登录胜利处理器解决,如果不是登录申请则不进入该过滤器。
- 当到 FilterSecurityInterceptor 的时候会拿到 uri ,依据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权胜利则到 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器解决。
特点
shiro能实现的,Spring Security 根本都能实现,依赖于Spring体系,然而益处是Spring全家桶的亲儿子,集成上更加符合,在应用上,比shiro略负责。
两者比照
Shiro比Spring Security更容易应用,也就是实现上简略一些,同时根本的受权认证Shiro也根本够用
Spring Security社区反对度更高,Spring社区的亲儿子,反对力度和更新保护上有劣势,同时和Spring这一套的联合较好。
Shiro 功能强大、且 简略、灵便。是Apache 下的我的项目比拟牢靠,且不跟任何的框架或者容器绑定,能够独立运行。
我的认识
如果开发的我的项目是Spring这一套,用Spring Security我感觉更适合一些,他们自身就是一套货色,顺畅,可能稍微简单一些,然而学会了就是本人的。如果开发我的项目比拟缓和,Shiro可能更适合,容易上手,也足够用,Spring Security中有的,Shiro也根本都有,没有的局部网上也有少量的解决方案。
如果我的项目没有应用Spring这一套,不必思考,间接Shiro。
同时要思考团队成员的技术栈,更加相熟应用哪个,在选型上,也要尽量避免给同行减少不必要的学习老本!
感激大家的点赞与转发,小编会继续转发《优极限》优质文章