Shiro

薛薛哦

已于 2024-04-11 12:40:34 修改

阅读量413

点赞数 4

文章标签： java

于 2024-04-09 15:01:30 首次发布

本文链接：https://blog.youkuaiyun.com/2301_81298401/article/details/137552206

版权

本文比较了Shiro、SpringSecurity和Sa-Token这三个Java安全框架，介绍了它们各自的特点、应用场景和功能，如SpringSecurity的全面解决方案，Sa-Token的轻量化特性，以及Shiro的易用性和灵活性，包括加密认证、RememberMe功能、前端页面授权验证和EhCache缓存的使用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

java项目Shiro、SpringSecurity、Sa-Token如何选择？ - 知乎 (zhihu.com)

Shiro、SpringSecurity、Sa-Token都是Java常用的安全框架

1）Spring Security是基于Spring的身份认证(Authentication)和用户授权(Authorization)
框架，提供了一套Web应用安全性的完整解决方案。其中核心技术使用了Servlet过滤器、IOC
和AOP等。

2）Sa-Token是一个轻量级Java权限认证框架，出现较晚（好像是2020年），主要解决：登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。

3）Shiro是一个强大而灵活的开源安全框架，能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点：

易于理解的Java Security APl；
简单的身份认证（登录），支持多种数据源(LDAP，JDBC，Kerberos，ActiveDirectory等)；
对角色的简单的签权（访问控制），支持细粒度的签权；
支持一级缓存，以提升应用程序的性能；
内置的基于POJO企业会话管理，适用于Web以及非Web的环境；
异构客户端会话访问；
非常简单的加密AP；
不跟任何的框架或者容器捆绑，可以独立运行。

Java shiro面试题_Java面试题及答案-动力节点

一、尚硅谷2022版Shiro课程

已下载视频&讲义。

Shiro 默认的登录认证是不带加密的，如果想要实现加密认证需要自定义登录认证，须自定义 Realm。

public class MyRealm extends AuthenticatingRealm {
    //自定义的登录认证方法，Shiro 的login 方法底层会调用该类的认证方法完成登录认证
    //需要配置自定义的realm 生效，在ini 文件中配置，或Springboot 中配置
    //该方法只是获取进行对比的信息，认证逻辑还是按照Shiro 的底层认证逻辑完成认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1 获取身份信息
        String principal = authenticationToken.getPrincipal().toString();
        //2 获取凭证信息
        String password = new String((char[]) authenticationToken.getCredentials());
        System.out.println("认证用户信息：" + principal + "---" + password);
        //3 获取数据库中存储的用户信息
        if (principal.equals("zhangsan")) {
            //3.1 数据库存储的加盐迭代3 次密码
            String pwdInfo = "7174f64b13022acd3c56e2781e098a5f";
            //3.2 创建封装了校验逻辑的对象，将要比较的数据给该对象
            AuthenticationInfo info = new SimpleAuthenticationInfo(
                    authenticationToken.getPrincipal(),
                    pwdInfo, 
                    ByteSource.Util.bytes("salt"), 
                    authenticationToken.getPrincipal().toString());
            return info;
        }
        return null;
    }
}

RememberMe功能：在查看订单、支付等重要场景下，还是要进行身份认证。

前端页面授权验证：

这一块的目的是，如果用户没有相关权限，干脆就不让他看到相应的菜单/按钮了。需要先添加依赖：

  <!--配置Thymeleaf 与Shrio 的整合依赖-->
  <dependency>
    <groupId>com.github.theborakompanioni</groupId>
    <artifactId>thymeleaf-extras-shiro</artifactId>
    <version>2.0.0</version>
  </dependency>

实现缓存：

Shiro官方提供了shiro-ehcache，实现了整合EhCache作为Shiro的缓存工具。可以缓存认证执行的Realm方法，减少对数据库的访问，提高认证效率。

缓存工具EhCache

EhCache是一种广泛使用的开源Java分布式缓存。主要面向通用缓存,Java EE和轻量级容器。可以和大部分Java项目无缝整合，例如：Hibernate中的缓存就是基于EhCache实现的。
EhCache支持内存和磁盘存储，默认存储在内存中，如内存不够时把缓存数据同步到磁盘中。EhCache支持基于Filter的Cache实现，也支持Gzip压缩算法。
EhCache直接在JVM虚拟机中缓存，速度快，效率高；
EhCache缺点是缓存共享麻烦，集群分布式应用使用不方便。

会话管理：略。