本文探讨了SpringSecurity和Shiro这两个Java安全框架的区别,着重于它们在认证、授权功能上的应用,以及在前后端分离项目中Session的局限性,同时提到了JWT在身份验证中的角色。
Q1:SpringSecurity和Shiro的关系or连续or区别是什么?
-
Spring Security 是由 Spring 社区开发和维护的安全框架,它是 Spring 生态系统的一部分,可以与 Spring 框架无缝集成。
-
Apache Shiro 是由 Apache 软件基金会开发和维护的安全框架,它是一个独立的项目,不依赖于其他框架,可以与任何 Java 应用程序集成。
小型的项目一般用的是Shiro,中大型的项目一般用的是SpringSecurity
他们两个一般都只干两个事情:认证和授权
认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户
授权:经过认证后判断当前用户是否有权限进行某个操作
Q2:引入SpringSecurity和不引入在启动主程序后最明显的区别在哪里?
引入SpringSecurity会自动跳转到一个默认登录页面,默认用户是user,密码则在控制台中,必须登录之后才能对接口进行访问
TIPS:前后端分离项目中无法使用Session(指分布式项目),why?
在前后端分离的架构中,前端(通常是通过 JavaScript 框架如 Angular、React、Vue 等实现)和后端(通常是通过 RESTful API 提供服务)是完全分离的,前端不再直接与服务器端渲染页面,而是通过 API 与服务器进行数据交互。因此,传统的基于服务器端的会话管理机制(如基于 Session 的会话管理)不再适用。
Q3:token和jwt的关系是什么?
Token(令牌)是一种用于在网络通信中传递身份信息的方式,它可以代表用户的身份、权限或其他相关信息,并被用于在客户端和服务器之间进行身份验证和授权。JSON Web Token(JWT)是一种基于 Token 的认证和授权机制,它是一种开放的标准(RFC 7519),定义了一种简洁的、自包含的、可扩展的方式用于安全地传输信息。可以简单理解为jwt是token的实现
明天学习完继续更新
推荐三更老师的课
332
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
