Shiro和SpringSecurity的区别

---

前言

Shiro 和 Spring Security 都是用于在Java应用程序中实现身份验证（Authentication）和授权（Authorization）功能的安全框架。它们的目标是保护应用程序免受恶意用户的攻击，并提供一系列工具来管理用户、角色和权限。

---

1.Shiro：

Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

Shiro的特点：

1. 易于理解的 Java Security API；
2. 简单的身份认证（登录），支持多种数据源（LDAP，JDBC，Kerberos，ActiveDirectory 等）；
3. 对角色的简单的签权（访问控制），支持细粒度的签权；
4. 支持一级缓存，以提升应用程序的性能；
5. 内置的基于 POJO 企业会话管理，适用于 Web 以及非 Web 的环境；
6. 异构客户端会话访问；
7. 非常简单的加密 API；
8. 不跟任何的框架或者容器捆绑，可以独立运行。

2.SpringSecurity：

Spring Security在架构上将认证与授权分离，并提供了扩展点。它是一个轻量级的安全框架，它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring有很好地集成 ，并配备了BCrypt安全算法实现捆绑在一起。

SpringSecurity特点：

• Sshiro能实现的，Spring Security 基本都能实现；
• 依赖于Spring体系；
• 背景强大，因为是Spring全家桶的一员；
• 集成上更加契合，在使用上，比shiro略负责。

3.对比：

• Shiro比Spring Security更容易使用，也就是实现上简单一些，同时基本的授权认证Shiro也基本够用；
• Spring Security社区支持度更高，Spring社区的亲儿子，支持力度和更新维护上有优势，同时和Spring这一套的结合较好。
• Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠，且不跟任何的框架或者容器绑定，可以独立运行。
• Shiro支持MD5和SHA系列的加密方式，而SpringSecurity支持的是Bcrypt这种更安全的加密方式。

---

总结

Shiro更灵活、简单、独立，可以与各种Java应用程序集成。
SpringSecurity更契合 Spring 模块（如 Spring Boot、Spring MVC）。