一文搞懂什么是java权限框架

最新推荐文章于 2025-03-14 16:51:47 发布
最新推荐文章于 2025-03-14 16:51:47 发布
阅读量1.7k 收藏 22
点赞数 20
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73186145/article/details/135155865
版权
本文对比了Java中的Shiro、SpringSecurity和OAuth2三种权限框架,讨论了它们的特性、优缺点以及在SSM、SpringBoot和SpringCloud中的适用场景,还介绍了Token、JWT和无状态Token的概念以及CSRF的含义和解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

java一共分为三种权限框架: 

1.shiro

shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理,是可以挂在外面实现松耦合,不支持分布式项目,简单来说就是一个认证和授权的框架。

shiro有三大核心架构:

(1).Subject 主体

(2).SecurityManager 安全管理器

(3).Realm 领域

2.spring security

Spring Security在架构上将认证与授权分离,并提供了扩展点。它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring MVC有很好的集成 ,并配备了流行的安全算法实现捆绑在一起。,一般来说web应用的安全性包括用户认证和用户授权两个部分

SpringSecurity特点:

  • shiro能实现的,Spring Security 基本都能实现;
  • 依赖于Spring体系;
  • 背景强大,因为是Spring全家桶的亲儿子。
  • 集成上更加契合,在使用上,比shiro略负责

3.auth2

OAuth2是OAuth的一个版本。OAuth2框架能让第三方应用以有限的权限访问HTTP服务,可以通过构建资源拥有者与HTTP服务间的许可交互机制,让第三方应用代表资源拥有者访问服务,或者通过授予权限给第三方应用,让其代表自己访问服务。作为授权框架,关注如何让一个系统组件获取对另一个系统组件的访问权限。

shiro和spring secutity的区别:

1.spring security 基于spring开发,项目若使用spring作为基础,配合spring security做权限更加方便 ,而shiro需要和spring整合开发

2.spring security功能比shiro更加丰富些,例如安全维护方面

3.spring security 社区资源相对比shiro更加丰富

4.shiro的配置和使用比较简单,spring security上手复杂些

5.shiro依赖性低,不需要任何框架和容器,可以独立运行。而spring security依赖于spring容器

6.shiro不仅仅可以使用在web中,它可以工作在任何应用环境中。在集群会话时shiro最重要的一个好处就是它的会话时独立于容器的

总的来说就是ssm项目就用shiro框架,springboot和springcloud就用spring security框架!

什么是Token?

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。

基于Token的身份验证的过程如下:

1、用户通过用户名和密码发送请求。

2、程序验证。

3、程序返回一个签名的token 给客户端。

4、客户端储存token,并且每次用于每次发送请求。

5、服务端验证token并返回数据。

什么是JWT

jwt的全称就是 json web token ,看到全称是不是就知道了jwt里面包含token

是一个开发标准(rfc7519),它定义了一种紧凑的,自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或者使用RSA或ECDSA的公钥/私钥对进行签名。

通俗来讲,就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密,签名等相关处理

jwt的结构:

1.标头(Header)

2.有效载荷(Payload)

3.签名(Signature)

jwt和token的区别:

token 需要查库验证 token 是否有效,而 JWT 不用查库或者少查库,直接在服务端进行校验,并且不用查库。因为用户的信息及加密信息在第二部分 payload和第三部分签证中已经生成,只要在服务端进行校验就行,并且校验也是 JWT 自己实现的

注意!!!

token就是一张令牌登录后发给你,想要查询和进行其他操作还得带其他的权限

jwt就是超级token直接带了所有权限不需要去访问数据库

简单来说:区别主要体现在接受的信息是否需要进入数据库查询信息。

什么是无状态token?

Token无状态,也就是说,Token不会记录客户端之间的状态,也不会存储客户端相关信息,只会记录用户的身份,以保客户端发送的请求是合法的。

csrf是什么?

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

使用token验证就可以很好的解决csrf

好啦就到这里谢谢大家的观看!

主流的Java生态下权限管理框架
print_helloword的博客
03-19 892
此方案为当前互联网Java开发生态的。(整体权限管理框架) +(细粒度数据权限控制)
基于Java的一些权限框架简介
热门推荐
liaochangfa的专栏
11-06 1万+
 基于Java的一些权限框架简介JOSSO  JOSSO(Java   Open   Single   Sign-On)是一个开源的J2EE-based的SSO(SSO:单一登录技术是一种认证和授权机制,它允许注册用户只需要在任一成员网站上登录一次,而后授权访问其他连接的分支网站,无需再进行验证登录)基础结构.它的目的是提供一种用来解决在统一平台上进行用户集中认证的方案.  
java权限框架_ssh+shiro+jbpm4.4+lucene+easyui
11-01
基于角色,组织的权限,细化到按钮,可直接在此项目上进行二次开发,代码非常规范,开源项目,希望对大家有帮助
一个免费的java权限后台管理系统框架
01-23
技术支持:www.walkersoft.net。 java权限后台开发框架,采用spring + srpingsecurity + springMVC + Hibernate + freemarker + jquery 等技术实现,页面及源文件打包发布程序。 完整的功能应用,包括:后台权限、人员机构、参数代码、角色权限、上传文件、日志管理等内容。 您可以直接在其上面开发业务模块,具体下载和演示可访问:www.walkersoft.net。 开发文档整理中,很快会更新到网站中。希望能和广大开发者交流,并提供更多支持。 2019-08-16更新 请下载最新版:https://download.csdn.net/download/pxzsky/10587447 积分过多,不是个人原因,csdn改版后就这样了,你懂的,不再一一回复。
Java权限控制框架看它就够了之Spring Security
雲浩的博客
11-29 8042
Java权限控制框架看它就够了共分为三个部分: 1、Java权限控制框架看它就够了之Shiro 2、Java权限控制框架看它就够了之Spring Security 3、Java权限控制框架看它就够了之Spring Security Oauth2 这三个权限框架博客将于近期发布,敬请关注哦!!!!!!!!!!!!!!!!!!!!!!!!!!!! 一、SpringSecurity简介 Spring Security一种基于 Spring AOP 和 Servlet 过滤器的安全框架,...
重磅推荐:很全的 Java 权限认证框架
MarkerHub的博客
07-11 545
来源:GitHub上sa-token项目今天给大家推荐的这个开源项目超级棒,可能是史上功能最全的 Java 权限认证框架!这个开源项目就是:sa-token 。Sa-Token是什么?s...
一个Java权限框架-Shiro
奔走的王木木Sir的博客
06-14 3494
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
一文搞懂JVM架构:java二叉树和红黑树
05-27 353
前言 Spring已经是我们Java Web开发必不可少的一个框架,其大大简化了我们的开发,提高了开发者的效率。同时,其源码对于开发者来说也是宝藏,从中我们可以学习到非常优秀的设计思想以及优雅的命名规范,但因其体系庞大、设计复杂对于刚开始阅读源码的人来说是非常困难的。所以在此之前首先你得下定决心,不管有多困难都得坚持下去;其次,最好先把设计模式掌握熟练;然后在开始阅读源码时一定要多画UML类图和时序图,多问自己为什么要这么设计?这样设计的好处是什么?还有没有更好的设计?当然,晕车是难免的,但还是那句话,一定
Java中的线程池如何实现,一文彻底搞懂
程序媛小琬的博客
10-13 2174
在 HotSpot VM 的线程模型中,Java 线程被一对一映射为内核线程。 Java 在使用线程执行程序时,需要调用操作系统内核的 API,创建一个内核线程,操作系统要为线程分配一系列的资源;当该 Java 线程被终止时,这个内核线程也会被回收。因此 Java 线程的创建与销毁的成本很高,从而增加系统的性能开销。 除此之外,无限制地创建线同样会给系统带来性能问题。因为 CPU核数是有限的,大量的线程上下文切换会增加系统的性能开销。同时无限制地创建线程还可能导致 OOM。
Java进阶——注解一文全懂
1加1等于的博客
02-28 1194
Java注解(Annotation)是一种强大的元数据机制,为代码提供了附加信息,能简化配置、增强代码的可读性和可维护性。本文将深入探讨 Java 注解的相关知识。首先阐述了注解的基础概念,包括其本质、作用以及核心分类(内置注解、元注解、自定义注解)。接着深入讲解元注解,如@Target、@Retention、@Documented、@Inherited、@Repeatable等,解释了它们的用途和使用方式。还介绍了自定义注解的定义语法、属性类型限制及默认值设置,以及常见应用场景等。
MCP是什么?一文讲懂以及MCP微服务搭建思路
最新发布
qq_62448027的博客
03-14 4607
近期,Deepseak,Mauns,字节的Trae和Cursor相继在大家的社交媒体爆火,仅凭一句话,几次魔法修复就可以快速搭建一个网站,app或者一个实用脚本工具。以往,我们对GPT提的需求,我们仍需要使用到CV大法,但是有了作为中间层,我们便可以省去这样的过程,甚至利用最新的算法蒸馏技术可以让程序尽可能减少错误,并利用“代码容器”技术可以实现。本文则就MCP的设计体系,对MCP的理念进行思考以及如何结合MVI 响应式流技术和Protobuf对MCP进行Client微服务的搭建。
免费java权限(应用开发框架,包含源码,全功能
04-06
技术支持:www.walkersoft.net。 开源,免费下载,包含源码,网站上有部署、开发文档。 因为大小限制,所以没有包含lib中的jar文件,请到网站下载lib。 java权限后台开发框架,采用spring + srpingsecurity + springMVC + Hibernate + freemarker + jquery 等技术实现,页面及源文件打包发布程序。 完整的功能应用,包括:后台权限、人员机构、参数代码、角色权限、上传文件、日志管理等内容。 您可以直接在其上面开发业务模块,具体下载和演示可访问:www.walkersoft.net。 开发文档整理中,很快会更新到网站中。希望能和广大开发者交流,并提供更多支持。
一文搞懂MySQL体系架构!!
weixin_70730532的博客
06-07 5473
很多小伙伴工作很长时间了,对于MySQL的掌握程度却仅仅停留在表面的CRUD,对于MySQL深层次的原理和技术知识了解的少之又少,随着工作年限的不断增长,职场竞争力却是不断降低的。很多时候,出去面试时,被面试官吊打的现象成了家常便饭。比如,对于MySQL的高频面试题有:如果一一列举的话,大概能够列举上百个关于MySQL的高频面试题,这些你都会吗?不仅仅是面试,如果你想从一名底层程序员上升为高级工程师,架构师等,MySQL的底层原理和技术是你必须要掌握的。我们先来看看MySQL的体系架构图,如下所示。 从My
java框架有哪几种,java权限框架有几种?常见的权限框架分享
weixin_39687189的博客
03-09 1万+
权限管理框架属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则用户可以访问而且只能访问自己被授权的资源,那么java权限框架有几种?今天我们就来给大家讲解一下常见的权限框架。1.Shiro 框架Java的一个安全框架;对比Spring Security,可能没有Spring Security做的功能强大特点:易于理解的 Java Security API;简单的身份认证(登录),支...
史上功能最全的Java权限认证框架
永远年轻
03-12 2407
文章目录Sa-Token是什么?Sa-Token 能做什么?代码示例官网地址sa-token 使用示例SpringBoot 环境1. 创建项目2. 设置jar包依赖3. 配置文件4. 启动类5. 运行 Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0 等一系列权限相关问题 框架针对踢人下线、自动续签、前后台分离、分布式会话……等常见业务进行N多适配,通过sa-token,你可以以一种极简的方式实现系统的
java写一个权限系统的框架
weixin_35752645的博客
02-13 634
Java是一种强大的编程语言,可以用来构建复杂的软件系统,包括权限系统。下面是一个简单的Java权限系统的框架: 定义用户和角色:首先需要定义用户和角色,比如管理员、普通用户等。 分配权限:为每个角色分配不同的权限,比如管理员有所有权限,普通用户只能查看数据等。 认证和授权:开发一个认证和授权模块,确保用户在访问系统资源之前被认证,并且只有拥有相应权限的用户才能访问。 实现权限管理:开发一...
Java权限框架】Sa-Token,一个轻量级 Java 权限认证框架(快速上手)
文章作为学习记录以及工作中遇到的问题,不一定完全正确,如发现错误请指正。
06-06 1497
一个简便易上手的权限框架:Sa-Token
深入理解Java反射机制:动态操作类的奥秘
"一文搞懂Java中的反射机制" Java的反射机制是其动态性的重要体现,它允许程序在运行时检查和操作类、接口、字段和方法等对象。这一特性使得Java能够在运行时动态地获取类的信息并进行操作,增加了代码的灵活性和可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值