安全框架Shiro和SpringSecurity如何选择?

于 2022-09-05 09:01:43 发布
阅读量224 收藏
点赞数 6
分类专栏: Spring 文章标签: spring 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70314224/article/details/126692814
版权

一、Shiro

1】什么是Shiro?

         Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

2Shiro 的特点

        Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点:

  • 易于理解的 Java Security API;  
  • 简单的身份认证(登录),支持多种数据源(LDAP,JDBC 等);
  • 对角色的简单的签权(访问控制),也支持细粒度的鉴权;
  • 支持一级缓存,以提升应用程序的性能;
  • 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;
  • 异构客户端会话访问;
  • 非常简单的加密 API;
  • 不跟任何的框架或者容器捆绑,可以独立运行。

【3】Shiro核心组件架构图

 【4】Shiro身份认证的基本流程

1、Shiro把用户的数据封装成标识token,token一般封装着用户名,密码等信息

2、使用Subject门面获取到封装着用户的数据的标识token

SessionManager会话管理,shiro框架定义了一套会话管理,它不依赖web容器的session,所以shiro 可以使用在非web应用上,也可以将分布式应用的会话集中在一点管理,此特性可使它实现单点登录。SessionDAO即会话dao,是对session会话操作的一套接口 比如:可以通过jdbc将会话存储到数据库 也可以把session存储到缓存服务器 CacheManager缓存管理,将用户权限数据存储在缓存,这样可以提高性能 Cryptography密码管理,shiro提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等 功能

 3、Subject把标识token交给SecurityManager,在SecurityManager安全中心中,SecurityManager把标识token委托给认证器Authenticator进行身份验证。认证器的作用一般是用来指定如何验证,它规定本次认证用到哪些Realm
4、认证器Authenticator将传入的标识token,与数据源Realm对比,验证token是否合法

【5】Shiro身份授权的基本流程

1、首先调用Subject.isPermitted/hasRole接口,其会委托给SecurityManager

2、SecurityManager接着会委托给内部组件Authorizer;

3、Authorizer再将其请求委托给我们的Realm去做;Realm才是真正干活的;

4、Realm将用户请求的参数封装成权限对象。再从我们重写的doGetAuthorizationInfo方法中获取从数据库中查询到的权限集合。

5、Realm将用户传入的权限对象,与从数据库中查出来的权限对象,进行一一对比。如果用户传入的权限对象在从数据库中查出来的权限对象中,则返回true,否则返回false。

进行授权操作的前提:用户必须通过认证。

二、SpringSecurity

        Spring Security 主要实现了Authentication(认证,解决who are you? ) 和 Access Control(访问控制,也就是what are you allowed to do?,也称为Authorization)。Spring Security在架构上将认证与授权分离,并提供了扩展点。它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring MVC有很好地集成 ,并配备了流行的安全算法实现捆绑在一起。

 执行流程

  1. 客户端发起一个请求,进入 Security 过滤器链。
  2. 当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理,如果登出失败则由 ExceptionTranslationFilter ;如果不是登出路径则直接进入下一个过滤器。
  3. 当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler 登录失败处理器处理,如果登录成功则到达 AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器。
  4. 当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到达 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器处理。

特点 

        shiro能实现的,Spring Security 基本都能实现,依赖于Spring体系,但是好处是Spring全家桶的亲儿子,集成上更加契合,在使用上,比shiro略负责。

三、两者对比

Shiro比Spring Security更容易使用,也就是实现上简单一些,同时基本的授权认证Shiro也基本够用。

Spring Security社区支持度更高,Spring社区的亲儿子,支持力度和更新维护上有优势,同时和Spring这一套的结合较好。

Shiro 功能强大、且 简单、灵活。是Apache 下面的项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行。

F_549329652
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安全框架shiro -- springsecurity.
WanWenQingqijia的博客
07-08 343
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
Spring Security以及shiro学习
qq_34429554的博客
10-12 250
Spring SecuritySpring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 官网:https://spring.io/projects/spring-securityspringboot中使用Spring Securi
Java学习之Shiro基本使用笔记+Security的简单使用
qq_45031575的博客
08-06 510
Shiro 的基本使用笔记 学习链接 目录结构 划红线的是Shiro 需要用到的类 shiro的简易工作流程 user(用户) –> Token(UsernamePasswordToken,令牌,Shiro 用来封装用户登录信息,使用用户的登陆信息来创建令牌Token) –> Subject(Shiro的一个抽象概念,包含了用户信息) –> SecurityManager(Shiro 的 核心部分,负责安全认证和授权) –> [{AuthenticationInfo}
ShiroSpringSecurity(安全框架)
Apr_ding的博客
07-17 245
ShiroSpringScurity整合SpringBoot
spring securityshiro安全处理
qq_41743601的博客
12-28 2157
spring securityshiro安全处理 文章目录spring securityshiro安全处理依赖视图配置用户认证和授权注销及权限控制记住我及首页地址 依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-
Springsecurity改造Shiro项目踩坑
bigbearxyz的博客
10-21 993
为了快速开发,借助一套快速框架做了后台管理端。由于我采取的鉴权是SpringSecurity(下称SS),而快速框架用的是Shiro,所以要对原本的Shiro框架进行舍弃,统一使用SS。 问题: 在统一鉴权方式的时候遇到了一个坑,特此记录。由于原本的管理端采用的只是单纯的springboot,以此为admin服务搭建了一套springcloud项目,另有一个自己搭建的app服务。在调试的过程中发现,app服务比较好的集成了jwt+SS鉴权,在不带token的情况下,直接访问app的接口会报错。 .
Spring SecurityShiro 该如何选择
m0_64821673的博客
01-19 544
要知道ShiroSpring Security该如何选择,首先要看看两者的区别和对比 Shiro Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 执行流程 图片 特点 易于理解的 Java Security API; 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,Acti
Spring securityShiro的区别
Tang
08-02 8327
文章目录Spring SecurityShiro的区别1.相同点2.不同点 Spring SecurityShiro的区别 1.相同点 ①认证功能 ②授权功能 ③加密功能 ④会话管理 ⑤缓存支持 ⑥rememberMe功能 … … 2.不同点 ①Spring Security 基于Spring开发,项目若使用Spring作为基础,配合Spring Security 做权限更便捷,而Shiro...
安全框架 ShiroSpring Security 如何选择
热门推荐
良月柒
09-25 4万+
点击上方"程序员的成长之路",选择"置顶或星标"你关注就是我关心的!安全框架安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)...
权限控制框架Spring SecurityShiro 的总结
weixin_30508241的博客
07-14 336
关于权限控制,一开始感觉比较难,后来先是接触了Spring Security 学起来也比较吃力,再是学习了Shiro,感觉简单很多。 总体来说这些框架,主要做了两个事情 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
Java安全框架Shiro电子书
04-07
Apache ShiroJava 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相 当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时 可能并不需要那么复杂的东西,所以...
SpringSecurity的Web应用和指纹登录实践
02-24
Java开发人员在解决Web应用安全相关的问题时,通常会采用两个非常流行的安全框架ShiroSpringSecurityShiro配置简单,上手快,满足一般应用的安全需求,但是功能相对单一。SpringSecurity安全粒度细,与Spring...
SpringSecurity.zip
06-08
什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。...Apache Shiro 是一个功能强大且易于使用Java安全框架,提供了认证,授权,加密,和会话管理。
SpringBoot整合Shiro/Security
weixin_43885216的博客
01-15 468
1.添加依赖
SpringSecurityShiro
a67310149的博客
03-07 605
什么是SpringSecurity Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架 什么是Shiro Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 这两个基本的概念 安全实体:系统需要保护的具体对象数据 权限:系统相关的功能操作,例如基本的CRUD 从中可以看出两者都是一种安全框架...
Spring Boot---(4)安全框架 ShiroSpring Security
wang13145的博客
11-17 99
东东
安全框架 Shiro & Spring Security
hl404的博客
06-24 588
一、什么是Shiro? Apache Shiro 是一个Java安全(权限)框架Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 二、Shiro的主要功能 Authentication:身份认证、登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么操作。 Session Manager:会话管理,即用户登录后就是第一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通的JavaS
详解比springSecurityshiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3604
详解比springSecurityshiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
ShiroSpring Security
最新发布
06-11
ShiroSpring Security都是Java领域中常用的安全框架,它们主要的功能是进行身份认证和授权。 ShiroSpring Security更加轻量级,它的设计目标是简单、易用、灵活,同时它也提供了很多可扩展性的API,让开发者可以根据自己的需求进行定制开发。Shiro还支持多种身份认证方式,包括基于表单的认证、基于HTTP请求头的认证、基于Cookie的认证等等。 Spring Security则是Spring框架的一部分,它提供了完整的安全解决方案,包括身份认证、授权、会话管理等功能,并且与Spring框架紧密集成,使用起来非常方便。Spring Security还提供了许多可扩展的身份认证和授权方案,例如OpenID、LDAP、OAuth等等。 总的来说,Shiro适用于需要灵活性和可扩展性较高的项目,而Spring Security则适用于需要集成Spring框架的项目。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

F_549329652

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值