Shiro的主要功能?
Shiro
Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理身份验证、授权、管理会话以及密码加密。
利用其易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro 主要分为两个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已,Shiro只是一个框架而已,其中的内容需要自己的去构建,前后是自己的,中间是Shiro帮我们去搭建和配置好的。
Spring Security
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI( 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
众所周知,想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。
它所有的架构也是基于认证和授权这两个核心功能去实现的。
Shiro主要的功能模块有两部分:
登录验证:不是登录用户不能访问敏感资源,只有登录了才可以访问敏感资源;
用户登录成功,就可以访问敏感资源,之后的所有访问都通过Shiro直接访问指定的资源。用户没有登录成功,跳转到指定的登录页面。
权限验证:不同的用户账号登录成功之后,用户所使用的功能不同,也就是拥有的权 限不同。一定是在登录认证完成之后,才能做Shiro的权限认证,根据用户的权限显示菜单项。