【ACL、RBAC、spring Security和Shiro的比较】

最新推荐文章于 2024-07-09 10:56:03 发布
最新推荐文章于 2024-07-09 10:56:03 发布
阅读量868 收藏 7
点赞数
分类专栏: Java 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47274607/article/details/121202361
版权

ACL、RBAC、spring Security和Shiro的比较

一、ACL

ACL: 访问控制列表( Access Control List)

  • 以前盛行的一种权限设计,它的核心在于用户直接和权限挂钩
  • 优点:简单易用,开发便捷
  • 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理
  • 例子:常见的文件系统权限设计, 直接给用户加权限

二、RBAC

RBAC:基于角色的权限访问控制(Role-Based Access Control)

  • 基于角色的访问控制系统。权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限
  • 优点:简化了用户与权限的管理,通过对用户进行分类,使得角色与权限关联起来
  • 缺点:开发对比ACL相对复杂
  • 例子:基于RBAC模型的权限验证框架与应用 Apache Shiro、spring Security

RBAC认为权限的过程可以抽象概括为:
判断【Who是否可以对What进行How的访问操作(Operator)】这个逻辑表达式的值是否为True的求解过程。
即将权限问题转换为Who、What、How的问题。who、what、how构成了访问权限三元组。

RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,极大地方便了权限的管理。

三、spring Security

spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

  • 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
  • 它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。
  • 它与Spring MVC有很好地集成,并配备了流行的安全算法实现捆绑在一起。安全主要包括两个操作“认证”与“验证”(有时候也会叫做权限控制)。“认证”是为用户建立一个其声明的角色的过程,这个角色可以一个用户、一个设备或者一个系统。“验证”指的是一个用户在你的应用中能够执行某个操作。在到达授权判断之前,角色已经在身份认证过程中建立了。

它的设计是基于框架内大范围的依赖的,可以被划分为以下几块。

  • Web/Http 安全:这是最复杂的部分。通过建立 filter 和相关的 service bean 来实现框架的认证机制。当访问受保护的 URL 时会将用户引入登录界面或者是错误提示界面。
  • 业务对象或者方法的安全:控制方法访问权限的。
  • AuthenticationManager:处理来自于框架其他部分的认证请求。
  • AccessDecisionManager:为 Web 或方法的安全提供访问决策。会注册一个默认的,但是我们也可以通过普通 bean 注册的方式使用自定义的 AccessDecisionManager。
  • AuthenticationProvider:AuthenticationManager 是通过它来认证用户的。
  • UserDetailsService:跟 AuthenticationProvider 关系密切,用来获取用户信息的。

Spring Security除了不能脱离Spring,shiro的功能它都有。而且Spring Security对Oauth、OpenID也有支持,Shiro则需要自己手动实现。

  • OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。“客户端"不能直接登录"服务提供商”,只能登录授权层,以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。
    "客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。
  • OpenID 系统的第一部分是身份验证,即如何通过 URI 来认证用户身份。目前的网站都是依靠用户名和密码来登录认证,这就意味着大家在每个网站都需要注册用户名和密码,即便你使用的是同样的密码。如果使用 OpenID ,你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。

四、Shiro

Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。

Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单。

Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点

  • 易于理解的 Java Security API;
  • 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等);
  • 对角色的简单的签权(访问控制),支持细粒度的签权;
  • 支持一级缓存,以提升应用程序的性能;
  • 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;
  • 异构客户端会话访问;
  • 非常简单的加密 API;
  • 不跟任何的框架或者容器捆绑,可以独立运行。

五、Shiro和Spring Security比较

  • Shiro比Spring更容易使用,实现和最重要的理解
  • Spring Security更加知名的唯一原因是因为品牌名称
  • “Spring”以简单而闻名,但讽刺的是很多人发现安装Spring Security很难
  • 然而,Spring Security却有更好的社区支持
  • Apache Shiro在Spring Security处理密码学方面有一个额外的模块
  • Spring-security 对spring 结合较好,如果项目用的springmvc ,使用起来很方便。但是如果项目中没有用到spring,那就不要考虑它了。
  • Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行
★半岛铁盒
关注
专栏目录
第 23 章 Spring Security中的ACL
weixin_34223655的博客
07-13 559
第23章Spring Security中的ACL ACL即访问控制列表(Access Controller List),它是用来做细粒度权限控制所用的一种权限模型。对ACL最简单的描述就是两个业务员,每个人只能查看操作自己签的合同,而不能看到对方的合同信息。 下面我们会介绍Spring Security中是如何实现ACL的。 23....
安全框架ShiroSpringSecurity比较
weixin_30294021的博客
07-24 1419
两个基本的概念 安全实体:系统需要保护的具体对象数据 权限:系统相关的功能操作,例如基本的CRUD  Shiro   首先Shiro较之 Spring SecurityShiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。 Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Jav...
SpringSecurity中文文档(Domain Object Security (ACLs))
最新发布
znjy111的博客
07-09 816
本节描述 SpringSecurity 如何使用访问控制列表(ACL)提供域对象安全性。复杂的应用程序通常需要定义超出 Web 请求或方法调用级别的访问权限。相反,安全决策需要包括 who (Authentication)、 where (MethodInvation)和 what (Some DomainObject)。换句话说,授权决策还需要考虑方法调用的实际域对象实例主题。假设您正在为宠物诊所设计一个应用程序。基于 Spring 的应用程序的用户主要有两类: 宠物诊所的工作人员和宠物诊所的客户。
Spring SecurityAcl的支持
weixin_30532759的博客
01-08 250
Acl的支持 目录 1.1准备工作 1.2表功能介绍 1.2.1表acl_sid 1.2.2表acl_class 1.2.3表acl_object_identity 1.2.4表acl_entry 1.3Acl主要接口 1.4配置AclServi...
再见Spring Security!推荐一款功能强大的权限认证框架
m0_63213529的博客
10-25 527
在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择ShiroSpring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也不够强大。最近发现一款功能强大的权限认证框架Sa-Token,它使用简单、API设计优雅,推荐给大家! Sa-Token简介 Sa-Token是一款轻量级的Java权限认证框架,可以用来解决登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。 框架集成简单、开箱即用.
权限框架Apache ShiroSpring SecurityRBAC
i_hanjt的博客
05-23 5387
前言 一年半年前,我负责的一个项目中需要权限管理。当时google了一些权限管理的资料,发现了RBAC这个东西。可惜一直没狠下心来学习更详细的RBAC模型非常复杂。之后又在各大社区论坛接触到了ShiroSpring security,下面就是我个人对这三种技术的一些认识与简单对比。 RBAC RBAC(Role-Based Access Control )基于角色的访问控制。 在20世纪...
Spring Security同款产品对比
Leon_Jinhai_Sun的博客
05-23 265
Spring Security Spring 技术栈的组成部分。 通过提供完整可扩展的认证和授权支持保护你的应用程序。 https://spring.io/projects/spring-security SpringSecurity 特点 和 Spring 无缝整合。 Shiro 全面的权限控制。 专门为Web 开发而设计。 旧版本不能脱离Web 环境使用。 新版本对整个框架进行了分层抽取,分成了核心模块和Web 模块。单独引入核心模块就可以脱离Web 环境。 .
Spring Security
yinyin_xiao的博客
08-19 2216
权限认证:Spring Security
2016 page220 Spring Security Essentials - Nanda Nachimuthu.pdf )
03-22
Spring Security通过安全策略和访问控制列表(ACL)来实现这一过程。支持基于角色的访问控制(RBAC)和基于规则的决策策略。 3. 安全防护(Security Protection): Spring Security提供了防止常见安全威胁的功能,...
Spring Security:用户和Spring应用之间的安全屏障
pythonxxoo的博客
06-20 282
本文分享自华为云社区《【云驻共创】深入浅出Spring Security》,作者:香菜聊游戏。Spring Security最早叫Acegi Security,这个名称并不是说它和Spring就没有关系,它依然是为Spring框架提供安全支持的。Acegi Security基于Spring,可以帮助我们为项目建立丰富的角色与权限管理系统。Acegi Security虽然好用,但是最为人诟病的则是它臃肿繁琐的配置,这一问题最终也遗传给了Spring Security。Acegi Security最终被并入Sp
Spring Security: Getting Started With The HttpSecurity
程序员光剑
08-06 761
19年6月1日,Spring Framework正式发布了5.2版本,这是Spring开发人员的一个里程碑事件。在过去的一段时间中,Spring Security也跟着推出了新的5.2.0版本,包括了许多新功能和改进。但是,许多开发人员仍然认为Spring Security是一个“过时”的框架,并且不建议在生产环境中使用它。很多开发人员相信,他们所使用的技术栈中的安全组件是过时的、脆弱的或有问题的。另一些开发人员则喜欢Spring Security,但却对其使用方式缺乏经验。
spring security acl
12-12
spring security实现了acl权限控制。因为文件大小问题去掉了lib。
Java企业级权限系统,Spring Security,Apache Shiro,Spring MVC,RBAC模型
08-11
Java企业级权限系统,可供学习Spring Security权限框架、 Apache Shiro权限框架、Spring MVC、 RBAC模型、模块开发等等,内有详细视频教程,由于上传大小限制,可联系免费获取!
美年_移动端开发_权限控制_Spring Security入门与进阶
Princess_Y
12-03 4629
第三章权限控制 1:认证和授权的概念 • 认证:登录(用户名和密码) • 授权:访问系统功能的权限 2:权限模块的数据模型 • 用户表 • 角色表 • 权限表 • 菜单表 3:表之间关系 • 用户和角色是多对多关系 • 角色和权限是多对多关系 • 权限和菜单是多对多关系 3.1. 认证和授权概念 前面我们已经完成了旅游后台管理系统的部分功能,例如自由行管理、跟团游管理、套餐管理、预约设置等。接下来我们需要思考2个问题: 问题1:在生产环境下我们如果不登录后台系统就可以完成这些功能操作吗? 答案显然是否定的,
再见SpringSecurity,比Shiro更简单优雅的轻量级Sa-Token框架我粉了
Javatutouhouduan的博客
05-25 2499
最近在做登录、授权的功能,一开始考虑到的是spring boot + spring security,但spring security太重,而我们是轻量级的项目,所以,spring security不适合我们。 而后考虑spring boot + shiro,但shiro自带的aop会影响spring boot的aop,所以,shiro也不适合我们。 后来浏览github时,发现Sa-Token这个框架,如下是Sa-Token的功能图:
比较一下 Spring SecurityShiro 各自的优缺点
qq_73778722的博客
03-16 599
如果使用 OpenID ,你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。Shiro 主要分为两个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已,Shiro只是一个框架而已,其中的内容需要自己的去构建,前后是自己的,中间是Shiro帮我们去搭建和配置好的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。
spring securityACL
mail1239的专栏
01-07 1436
今天做了acl管理的例子 但是在mysql数据库中创建消息的时候出现了异常Servlet.service() for servlet MessageServlet threw exceptioncom.mysql.jdbc.exceptions.MySQLSyntaxErrorException: PROCEDURE test.identity does not exist at com.my
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值