Shiro和Spring Security对比

最新推荐文章于 2024-04-03 00:01:52 发布
最新推荐文章于 2024-04-03 00:01:52 发布
阅读量3.4k 收藏 6
点赞数 6
文章标签: spring java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69084736/article/details/126715274
版权

一、Shiro简介

1.什么是Shiro?

Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份 认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

2.Shiro 的特点

Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加 密。如下是它所具有的特点:

  • 易于理解的 Java Security API;
  • 简单的身份认证(登录),支持多种数据源(LDAP,JDBC 等);
  • 对角色的简单的签权(访问控制),也支持细粒度的鉴权;
  • 支持一级缓存,以提升应用程序的性能;
  • 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;
  • 异构客户端会话访问;
  • 非常简单的加密 API;
  • 不跟任何的框架或者容器捆绑,可以独立运行。

 3.核心组件

 流程如下:

  1. Shiro把用户的数据封装成标识token,token一般封装着用户名,密码等信息
  2. 使用Subject门面获取到封装着用户的数据的标识token
  3. Subject把标识token交给SecurityManager,在SecurityManager安全中心中,SecurityManager 把标识token委托给认证器Authenticator进行身份验证。认证器的作用一般是用来指定如何验证,它规定本次认证用到哪些Realm
  4. 认证器Authenticator将传入的标识token,与数据源Realm对比,验证token是否合法

二、 Spring Security简介

1.什么是Spring Security?

Spring Security是一个功能强大且高度可定制的,主要负责为Java程序提供声明式的身份验证和访问控制的安全框架。其前身是Acegi Security,后来被收纳为Spring的一个子项目,并更名为了Spring Security。Spring Security的底层主要是基于 Spring AOP 和 Servlet 过滤器来实现安全控制,它提供了全面的安全解决方案,同时授权粒度可以在Web请求级和方法调用级来处理身份确认和授权。

2.Spring Security功能

  • 认证: 解决 "你是谁" 的问题-->解决的是系统中是否有这个“用户”(用户/设备/系统)的问题,也就是我们常说的“登录”。
  • 授权: 权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。Spring Security 支持基于 URL 的请求授权、方法访问授权、对象访问授权。
  • 防护攻击: 防止身份伪造等各种攻击手段。
  • 加密功能: 对密码进行加密、匹配等。
  • 会话功能: 对Session进行管理。
  • RememberMe功能: 实现“记住我”功能,并可以实现token令牌持久化。

三、Spring Security 与 Shiro对比 

1. Spring Security优点

Spring Security基于Spring开发,所以Spring Security与Spring更契合;

Spring Security功能比Shiro更加强大,尤其是在安全防护方面;

Spring Security社区资源比Shiro更加丰富;

Spring Boot/Spring Cloud环境中,更容易集成Spring Security;

Spring Security 具备良好的扩展性,可以满足自定义的要求;

Spring Security对 OAuth2框架支持很好,而Shiro则对 OAuth2 支持不够。

2. Spring Security缺点

Shiro是一个轻量、简单、易于集成的老牌安全框架,而且使用流程简单清晰;反观Spring Security,则属于是重量级、配置繁琐、学习使用门槛高的安全框架。

Shiro依赖性低,不需要任何框架和容器,可以独立运行,而Spring Security需要依赖Spring容器。

3. 现在常见的安全技术栈

在目前的Java体系中,我们在进行关于安全方面的开发时,到底该选择Shiro还是Spring Security哪个框架呢?其实我们可以进行如下搭配:

  • SSM + Shiro
  • Spring Boot/Spring Cloud + Spring Security

就目前而言,Shiro 最大的问题在于和 Spring 家族的产品进行整合时较为不便。在Spring Boot 推出的很长一段时间里,Shiro 都没有提供相应的 starter,后来虽然有一个 shiro-spring-boot-web-starter 出来,但配置并没有简化多少。所以在 Spring Boot/Spring Cloud 技术栈的微服务项目中,Shiro 几乎不存在优势。

树袋熊的夏天359
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
面试官:说一说 Spring SecurityShiro 各自的优缺点
小小鱼儿小小林的博客
03-12 164
Spring Security 和 Apache Shiro 都是针对 Java 应用程序的安全框架,用于身份认证和授权。
Spring SecurityShiro的相同点与不同点整理
08-25
在本篇文章里小编给大家整理的是关于Spring SecurityShiro的相同不同点整理,需要的朋友们可以参考下。
Spring SecurityShiro的比较和使用
it_java_shuai的博客
09-21 1万+
这里是我看到了几个博客,然后把他们总结到了这样一个文章里面,也不能说是总结吧,只是搬了个家,嘻嘻.
Spring SecurityShiro 该如何选择?
最新发布
2401_84009192的博客
04-03 1028
Spring Security在架构上将认证与授权分离,并提供了扩展点。它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring MVC有很好地集成 ,并配备了流行的安全算法实现捆绑在一起。客户端发起一个请求,进入 Security 过滤器链。当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理,如果登出失败则由 ExceptionTran
安全框架 ShiroSpring Security 如何选择?
热门推荐
良月柒
09-25 4万+
点击上方"程序员的成长之路",选择"置顶或星标"你关注就是我关心的!安全框架安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)...
认识Spring securityshiro
an760998254的博客
04-04 1153
Spring securityshiro的使用 spring securityshiroSpring Security的使用1、什么是Spring Security?2、怎样使用Spring Security?3.Spring Security 核心类4、spring security的目标访问资源权限案例权限控制和注销记住我定制登录页认识shiro1.什么是shiro?2.shiro的核心组件3.shiro认证(Authentication)4.shiro认证流程自定义Realmshiro授权认证登录
安全框架shiro -- springsecurity.
WanWenQingqijia的博客
07-08 451
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
安全框架 Shiro & Spring Security
hl404的博客
06-24 599
一、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 二、Shiro的主要功能 Authentication:身份认证、登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么操作。 Session Manager:会话管理,即用户登录后就是第一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通的JavaS
SpringSecuity和Shiro区别
酷小亚
09-29 665
Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Spring Security在架构上将认证与授权分离,并提供了扩展点。它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring MVC有很好地集成,并配备了流行的安全算法实现捆绑在一起。
Shiro+Spring Security学习文档
07-23
Shiro+Spring Security学习文档,Spring+Security-3.0.1中文官方文档.pdf,跟我学Shiro教程.pdf。。。
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
Spring Security 和 Apache Shiro 都是java web 领域中非常优秀的安全框架,但是它们有所不同。学习这两种框架需要具备一些条件,包括了解认证和鉴权的概念、过滤器链的使用、RBAC 模型、OAuth2.0 等安全协议等。 ...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
spring boot+mybatis+shiro+spring security权限管理视频(网盘地址)
01-07
springMVC+Mybatis+shiro+spring security框架视频教程
Apache ShiroSpring Security对比
jlcheerful的博客
04-14 205
笔记
springsecrity与shiro的区别
詹Sir的博客
11-24 384
Shiro架构与功能介绍 1.认证与授权相关基本概念 两个基本的概念 安全实体:系统需要保护的具体对象数据 权限:系统相关的功能操作,例如基本的CRUD Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager:会话管理,即用户登录后就是一次会
Day238.shiroSpringSecurity对比、HttpBasic&formLogin模式登陆认证模式、自定义登陆验证结果处理等 -springsecurity-jwt-oauth2
阿昌爱Java
04-04 1780
1、spring-security简介并与shiro对比 一、 SpringSecurity 框架简介 官网:https://projects.spring.io/spring-security/ 源代码: https://github.com/spring-projects/spring-security/ Spring Security 是强大的,且容易定制的,基于Spring开发的实现认证登录与资源授权的应用安全框架。 SpringSecurity 的核心功能: Authentication:身份认
浅析安全框架-ShiroSpring Security
m0_67942533的博客
09-04 5063
浅析安全框架-ShiroSpring Security
shiroSpringSecurity对比
03-31
ShiroSpring Security都是Java安全框架,目的是为了简化Java应用程序安全开发的复杂性。它们之间的不同点如下: 1. 应用场景:Shiro更适合小型或中小型应用程序,而Spring Security更适合大型企业级应用程序。 2. 架构:Shiro的设计更加灵活,可以与各种Web框架和数据源集成,而Spring Security则是基于Spring框架的安全模块,它的扩展和使用都需要Spring框架的支持。 3. 配置方式:Shiro的配置相对简单,可以在Java代码中配置,也可以使用INI或XML等配置文件,而Spring Security则需要在XML文件中配置。 4. 功能:Shiro提供了更多的功能,例如Session管理、缓存管理、密码加密、集成其他身份认证机制等。Spring Security则更专注于Web应用程序的安全性,提供了基于角色的访问控制、记住我、注销等功能。 5. 社区支持:Spring Security拥有更大的用户群体和更广泛的社区支持,因此可以获得更好的技术支持和文档资料。 总体来说,Shiro更适合小型应用程序和快速开发,而Spring Security更适合大型企业级应用程序和更复杂的安全需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值