Spring Security和Shiro的区别

已于 2022-10-27 11:47:30 修改
阅读量1.2k 收藏 3
点赞数
文章标签: spring java 后端
于 2022-10-27 11:09:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63920305/article/details/127547757
版权

一: Shiro框架

shiro由apache社区支持,广泛使用,相对文档也比较多和全面。

 主要的接口及名词

**subject:**主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。

securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。它包含下面的认证器和授权器。

authenticator:认证器,主体进行认证最终通过authenticator进行的。

authorizer:授权器,主体进行授权最终通过authorizer进行的。

sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供一套session管理的方式。可以实现单点登录。

SessionDao:通过SessionDao管理session数据,针对个性化的session数据存储需要使用sessionDao。

cache Manager:缓存管理器,主要对session和授权数据进行缓存,比如将授权数据通过cacheManager进行缓存管理,和ehcache整合对缓存数据进行管理。

realm:域,领域,相当于数据源,通过realm存取认证、授权相关数据。(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))

注意:在realm中存储授权和认证的逻辑。

**cryptography:**密码管理,提供了一套加密/解密的组件,方便开发。比如提供常用的散列、加/解密等功能,比如md5散列算法。

认证原理

subject(主体)请求认证,调用subject.login(token)

SecurityManager(安全管理器)执行认证

SecurityManager通过ModularRealmAuthenticator进行认证。

ModularRealmAuthenticator将token传给realm,realm根据token中用户信息从数据库查询用户信息(包括身份和凭证),realm如果查询不到用户给ModularRealmAuthenticator返回null,ModularRealmAuthenticator抛出异常(用户不存在),realm如果查询到用户给ModularRealmAuthenticator返回AuthenticationInfo(认证信息),ModularRealmAuthenticator拿着AuthenticationInfo(认证信息)去进行凭证(密码)比对。如果一致则认证通过,如果不致抛出异常(凭证错误)。
 

授权流程

对subject进行授权,调用方法isPermitted(“”)或者hasRole(“”)

SecurityManager执行授权,通过ModularRealmAuthorizer执行授权

ModularRealmAuthorizer执行realm(自定义的CustomRealm)从数据库查询权限数据调用realm的授权方法:doGetAuthorizationInfo

realm从数据库查询权限数据,返回ModularRealmAuthorizer

ModularRealmAuthorizer调用PermissionResolver进行权限串比对

如果比对后,isPermitted中"permission串"在realm查询到权限数据中,说明用户访问permission串有权限,否则没有权限,抛出异常。
 

二:Spring Security简介

Spring Security基于强大的spring社区。它提供了一组Spring应用上下文的bean,充分利用Spring ioc控制反转,DI注入和AOP切面编程。为了减少企业系统安全控制编写的大量复杂代码的工作。它主要包括“验证”和“认证”,两个操作,验证是指一个用户在你的应用里能够执行的某个操作,认证是为用户创建一个角色的过程。

总结:

目前在java web应用安全框架中,使用Apache Shiro的人较多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。

Shiro比Spring Security更容易使用,也就是实现上简单一些,同时基本的授权认证Shiro也基本够用

Spring Security社区支持度更高,Spring社区的亲儿子,支持力度和更新维护上有优势,同时和Spring这一套的结合较好。

Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行。

最爱香泡泡
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ShiroSpring Security对比
weixin_69084736的博客
09-05 3450
ShiroSpring Security对比
认识Spring securityshiro
an760998254的博客
04-04 1164
Spring securityshiro的使用 spring securityshiroSpring Security的使用1、什么是Spring Security?2、怎样使用Spring Security?3.Spring Security 核心类4、spring security的目标访问资源权限案例权限控制和注销记住我定制登录页认识shiro1.什么是shiro?2.shiro的核心组件3.shiro认证(Authentication)4.shiro认证流程自定义Realmshiro授权认证登录
Spring SecurityShiro 该如何选择?
最新发布
VIP129370的博客
04-17 779
对角色的简单的签权(访问控制),支持细粒度的签权;支持一级缓存,以提升应用程序的性能;内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;异构客户端会话访问;非常简单的加密 API;不跟任何的框架或者容器捆绑,可以独立运行。如果您正在学习Spring Cloud,推荐一个连载多年还在继续更新的免费教程:https://blog.didispace.com/spring-cloud-learning/
springsecrity与shiro区别
詹Sir的博客
11-24 386
Shiro架构与功能介绍 1.认证与授权相关基本概念 两个基本的概念 安全实体:系统需要保护的具体对象数据 权限:系统相关的功能操作,例如基本的CRUD Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会
安全框架shiro -- springsecurity.
WanWenQingqijia的博客
07-08 469
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
ShiroSpring Security的简单对比
xingyingz的博客
09-05 1892
ShiroSpring Security的简单对比
Spring SecurityShiro的相同点与不同点整理
08-25
在本篇文章里小编给大家整理的是关于Spring SecurityShiro的相同不同点整理,需要的朋友们可以参考下。
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
Spring Security 和 Apache Shiro 都是java web 领域中非常优秀的安全框架,但是它们有所不同。学习这两种框架需要具备一些条件,包括了解认证和鉴权的概念、过滤器链的使用、RBAC 模型、OAuth2.0 等安全协议等。 ...
springsecurityshiro
05-27
Spring Security和Apache Shiro都是Java领域内的主流安全框架,它们提供了一整套解决方案来保护应用程序免受未经授权的访问和攻击。让我们详细探讨这两个框架的核心概念、功能以及它们如何帮助开发者实现安全性。 ...
SpringSecurityshiro的使用
10-07
Spring SecurityShiro都是流行的Java安全框架,用于保护Web应用程序免受未经授权的访问。下面我们将分别介绍Spring SecurityShiro的使用。 Shiro框架 Shiro是一个轻量级的安全框架,主要提供许可、认证、加密...
Shiro+Spring Security学习文档
07-23
在IT安全领域,Apache ShiroSpring Security是两个非常重要的框架,它们主要用于应用程序的安全管理,包括身份验证、授权、会话管理和加密等。本学习文档集合了这两个框架的相关知识,旨在帮助开发者深入理解和...
浅析ShiroSecurity的核心模块以及两者的区别
m0_71392708的博客
09-05 227
主体,这个对象是 Shiro 中最核心的对象,它是主体的抽象,代表了用户,包括用户的身份信息和一些行为(认证、注销、授权校验、获取 Session 等),认证其实就是登录的意思。默认 Web 安全管理器,它是 SecurityManager(安全管理器) 的实现,同样负责管理 Web 方面的安全认证和授权,我们写好的 Realm 需要放到这个管理器中。Shiro 过滤器,这个对象中包含了两个重要的功能(认证和授权),但它是一个空的对象,需要我们自己根据项目的需求,在这个过滤器中编写认证和授权的逻辑代码。
SpringSecuity和Shiro区别
酷小亚
09-29 669
Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Spring Security在架构上将认证与授权分离,并提供了扩展点。它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring MVC有很好地集成,并配备了流行的安全算法实现捆绑在一起。
安全框架 Shiro & Spring Security
hl404的博客
06-24 600
一、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 二、Shiro的主要功能 Authentication:身份认证、登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么操作。 Session Manager:会话管理,即用户登录后就是第一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通的JavaS
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
认证鉴权之Spring SecurityShiro
lonely_baby的博客
02-23 276
Spring Security 是一个基于 Spring 框架的安全框架,它提供了全面的安全性支持,包括身份认证、授权、攻击防范和安全通信等功能。强大的身份认证和授权功能:Spring Security 提供了灵活的身份认证和授权机制,支持多种身份认证方式和授权策略,可以根据应用程序的需求进行定制。可扩展性和灵活性:Spring Security 提供了许多可扩展的 API 和插件,可以方便地对其进行定制和扩展,以适应应用程序的需求。它还支持密码加密和解密的支持,可以保护用户密码的安全性。
SpringSecurity与Apache Shiro对比
香草天空Sky的博客
03-25 4678
SpringSecurity主要用于认证,授权不方便; 原因是没有图形化界面,不方便后台管理员管理; Apache Shiro功能更多,认证和授权都很方便;目前官方推荐的安全框架,就是Apache Shiro ...
springsecurityshiro区别
07-08
Spring SecurityShiro都是用于安全认证和授权的框架,但是它们有以下几点区别: 1. Spring Security是基于Spring框架的安全框架,而Shiro是一个独立的安全框架。 2. Spring Security提供了更多的集成支持,可以与Spring框架的其他组件集成,如Spring MVC、Spring Boot等。而Shiro则更加灵活,可以与任何框架集成。 3. Spring Security提供了更多的安全特性,如防止CSRF攻击、会话管理、注解授权等。而Shiro则更加简单易用,适合小型项目或快速开发。 4. Spring Security的学习曲线较陡峭,需要掌握较多的概念和配置。而Shiro则相对简单,易于上手。 总之,选择哪个框架取决于具体的项目需求和开发人员的技术水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值