shiro 和 sringSecurity 对比使用

最新推荐文章于 2024-08-14 08:30:00 发布
最新推荐文章于 2024-08-14 08:30:00 发布
阅读量181 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49798182/article/details/119316683
版权

作为两个java 安全框架大佬,大家对他可能或多或少得熟悉,这里做一个使用对比方便记忆

1,引入pom 配置

shiro  (apache 得项目)

security

<!-- spring security 安全认证 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

第二步:

自定义配置类

**
 * spring security配置
 *
 * @author syxl
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;

    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    @Autowired
    private JwtAuthenticationTokenFilter authenticationTokenFilter;

    /**
     * 跨域过滤器
     */
    @Autowired
    private CorsFilter corsFilter;

    /**
     * 解决 无法直接注入 AuthenticationManager
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception
    {
        return super.authenticationManagerBean();
    }

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception
    {
        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/captchaImage").anonymous()
                .antMatchers(
                        HttpMethod.GET,
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js"
                ).permitAll()
                .antMatchers("/business/contract/**").permitAll()
                .antMatchers("/profile/**").anonymous()
                .antMatchers("/common/download**").anonymous()
                .antMatchers("/common/download/resource**").anonymous()
                .antMatchers("/swagger-ui.html").anonymous()
                .antMatchers("/swagger-resources/**").anonymous()
                .antMatchers("/webjars/**").anonymous()
                .antMatchers("/*/api-docs").anonymous()
                .antMatchers("/druid/**").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }


    /**
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder()
    {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}

对比shiro 配置类

@Configuration
//从下往上写
public class ShiroConfig {
    @Bean
    public ShiroFileterFactoryBean getShiroFileterFactoryBean(@Qualifier("securityManage") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFileterFactoryBean bean = new ShiroFileterFactoryBean();
        bean.setSerurtiyManage(getDefaultSecurityManager(defaultWebSecurityManager));
        /**
         * anon  无需认证就可以访问
         * authc 必须认证访问
         * user 必须有 记住我 访问
         * perms 有某个权限访问
         * role 有某个角色访问
         */
        Map<String ,String> fiterMap = new LinkedHashMap<>();
        fiterMap.put("/user/add","authc")

        return bean;
    }


    @Bean(name = "securityManage")
    public DefaultWebSecurityManager getDefaultSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager sercurityMangeer = new DefaultWebSecurityManage();

        //关联usereaml
        sercurityMangeer.setRealm(userRealm);
        return sercurityMangeer;

    }

    @Bean
    public UserRealm userRealm(){
        return  new UerRealm;
    }

}

第二个类

public class UserRealm extends AuthroizingRealm {

    // 授权
    protected AuthenticationInfo doGetAuthenticationInfo(PrincipalCollection principalCollection){
       //
SimpleAuthenticationInfo  info = new SimpleAuthenticationInfo ()
 // 获取当前用户 Subject subject = SecurityUtils.getSubject();
Iser currener = (user) subject.getPrimncipal();
//设置但钱用户
info.seassStringPermion (CurreentUSer.setgetPermis())
     
return info;
    }

    // 认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException{
        //认证 从数据库获取username password
        UsernamePasswordToken token1 =   new UsernamePasswordToken(username,password);
         if (!userToken.getUsername().equals(name)){
             return null
         }

     //密码
     
        return new SimpleAuthenticationInfo("user",password,"");
    }

}

   public  login(){
       // 获取当前用户
       Subject subject = SecurityUtils.getSubject();
       // 封装用户登录得数据
       UsernamePasswordToken token1 =   new UsernamePasswordToken(username,password);
       try{
           subject.login(token1);
       }catch (UnKnowAccountExecption e){
           // 用户名错
           return "login";
       }catch (IncorrectionCredentialsExcpetion e){
           //密码错
           return "login";

       }


   }

  

李三醒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全框架Shiro和Spring Security比较
XING_Gou的博客
03-31 1328
前言:其实今天我都不知道该写点啥,打算今天就不写博文,给自己happy一天的,结果有个杠筋跑我发送的一个给初学者的一个开源项目下面评论说为什么是ssm的项目而不是springboot2+shiro+springsecrity 的,当时还怼了他一句,后面才发现,估计他也就是想炫炫自己的技术,跑我这说了这几个技术名词啊,不过你一个项目中有必要用两安全框架吗?能这样干吗,反正我没见过,下面呢,我就给大家...
shiro 和 springsecurity_web应用安全框架选型:Spring Security与Apache Shiro
weixin_39616287的博客
01-21 274
一、 SpringSecurity 框架简介官网:https://projects.spring.io/spring-security/源代码: https://github.com/spring-projects/spring-security/Spring Security 是强大的,且容易定制的,基于Spring开发的实现认证登录与资源授权的应用安全框架。SpringSecurity 的核心...
Shiro和Spring Security对比
热门推荐
零點的专栏
09-04 12万+
Shiro简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
shiro安全框架
qq_52367079的博客
11-20 85
1.shiro可以完成哪些工作? shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等 2.Apache Shiro 的三大核心组件 a、Subject :当前用户的操作 b、SecurityManager:用于管理所有的Subject c、Realms:用于进行权限信息的验证 3.shiro有哪些组件? a、Authentication:身份认证/登录,验证用户是不是拥有相应的身份; b、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户
java主流安全框架_安全框架Shiro和Spring Security比较
weixin_42509548的博客
02-25 3067
1.Shiro1.1 Shiro简介Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。对于我来说,与Spring Security相比,Shiro更加主流、也更加简单易用,它不但是适用于javaSE环境,也适用于ja...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
详解Spring Boot 集成Shiro和CAS
08-30
本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 Java 安全框架,由 Apache 软件...
Spring SecurityShiro的相同点与不同点整理
08-25
Spring Security和Apache Shiro都是Java领域中广泛使用的安全框架,它们为应用程序提供了强大的身份验证、授权和会话管理功能。虽然两者在很多方面有相似之处,但也有各自的特点和适用场景。 **相同点:** 1. **...
Shiro使用手册
03-29
### Shiro 使用手册详解 #### 一、Shiro 概述 ##### 1.1 什么是Shiro? Apache Shiro 是一款强大且易于使用的 Java 安全框架,它提供了多种安全相关的功能,包括但不限于认证、授权、加密以及会话管理等。Shiro ...
Spring 整合Shiro 并扩展使用EL表达式的实例详解
08-27
Spring 整合 Shiro 并扩展使用 EL 表达式实例详解 本文将详细介绍 Spring 整合 Shiro 框架,并通过扩展使用 Spring 的 EL 表达式来实现权限控制。Shiro 是一个轻量级的权限控制框架,应用非常广泛。下面是 Spring ...
SpringSercurity和Shiro
liuwushuang233的博客
04-28 304
1.SpringSecurity 1.1环境搭建 导入web和thymeleaf <!--thymeledf--> <dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf-spring5</artifactId> </dependency> <!--web--> <dependency> <g
【SpringBoot】Spring Boot 整合 Spring Sercrity
to_real的博客
09-18 438
Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对
Spring SecurityShiro
最新发布
Flying_Fish_roe的博客
08-14 1026
无论选择 Spring Security 还是 Apache Shiro,都需要确保:- **合规的身份验证**:确保用户身份得到有效验证。- **适当的授权**:根据用户的角色和权限控制访问。- **数据保护**:对敏感数据进行加密和保护。- **应用程序配置**:配置安全的 HTTP 头部和 HTTPS。选择合适的框架取决于你的项目需求和技术栈,以及团队的熟悉度。无论选择哪种框架,良好的安全实践和定期的安全审计都是保障应用安全的关键。
SpringSecuity和Shiro区别
酷小亚
09-29 690
Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Spring Security在架构上将认证与授权分离,并提供了扩展点。它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring MVC有很好地集成,并配备了流行的安全算法实现捆绑在一起。
安全框架shiro -- springsecurity.
WanWenQingqijia的博客
07-08 482
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
【SpringSecurity】Spring SecurityShiro对比
专注于Java领域开发 关注我 带你玩转Java
11-05 673
在Java权限框架中有SpringSecurityShiro
shiro与spring集成---安全框架集成spring
SU苏打水的博客
06-05 172
# Apache Shiro是什么? apache Shiro是一个强大且易用的Java安全框架,能够执行身份验证、授权、加密和会话管理。 # apache Shiro的主要API ## Subject Subject即“当前操作用户”。但是,在Shiro中,Subject这一概念并不是"帐户",而是与当前跟shrio交互的应用。 ## SecurityManager SecurityManager是Shiro框架的核心,典Shiro通过SecurityManager来管理内部组件实例,...
shiro和SpringSecurity对比
03-31
2. 架构:Shiro的设计更加灵活,可以与各种Web框架和数据源集成,而Spring Security则是基于Spring框架的安全模块,它的扩展和使用都需要Spring框架的支持。 3. 配置方式:Shiro的配置相对简单,可以在Java代码中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值