SpringSecurity和Shiro

其中包含了许多地方查到的资料,若有侵权行为望联系

什么是SpringSecurity

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架

什么是Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理

这两个基本的概念
安全实体:系统需要保护的具体对象数据
权限:系统相关的功能操作,例如基本的CRUD

从中可以看出两者都是一种安全框架,可以为用户的访问提供一个安全控制,防止数据泄露等情况

SpringSecurity与Shiro的相同点

  1. 认证功能
  2. 授权功能
  3. 加密功能
  4. 会话管理
  5. 缓存支持
  6. rememberMe功能

功能块

  1. Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
  2. Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
  3. SessionManager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
  4. Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
  5. Web Support:Web支持,可以非常容易的集成到Web环境;
  6. Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
  7. Concurrency:shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
  8. Testing:提供测试支持;
  9. Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
  10. Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。

Shiro的特点

  1. 易于理解的 Java Security API;
  2. 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等);
  3. 对角色的简单的签权(访问控制),支持细粒度的签权;
  4. 支持一级缓存,以提升应用程序的性能;
  5. 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;
  6. 异构客户端会话访问;
  7. 非常简单的加密 API;
  8. 不跟任何的框架或者容器捆绑,可以独立运行。
  9. Shiro的配置和使用比较简单,Spring Security上手复杂
  10. Shiro依赖性低,不需要任何框架和容器,可以独立运行,而Spring Security依赖于Spring容器

SpringSecurity的特点

  1. Spring Security基于Spring开发,项目中如果使用Spring作为基础,配合SpringSecurity做权限更加方便,而Shiro需要和Spring进行整合开发
  2. Spring Security功能比Shiro更加丰富些,例如安全防护
  3. Spring Security社区资源比Shiro丰富

SpringSecurity和Shiro的不同

从以上可以看出SpringSecurity和Shiro虽然都是用于企业项目安全的框架,但两者也都有自己的优缺点

SpringSecurity的优点:

  1. SpringSecurity基于spring开发,当项目使用Spring为基础时,使用SpringSecurity会比Shiro更方便
  2. SpringSecurity的功能和社区资源比Shiro更丰富

Shiro的优点:

  1. Shiro的上手难度低,适合初学者,SpringSecurity则会上手较难
  2. Shiro不需要依赖任何框架,可以独立运行,比SpringSecurity要灵活

你可能感兴趣的:(SpringSecurity和Shiro)