在 SpringBoot 项目中,Spring Security 和 Shiro 该如何选择?(1)

最新推荐文章于 2025-05-21 09:46:32 发布
最新推荐文章于 2025-05-21 09:46:32 发布
阅读量794 收藏 24
点赞数 28
CC 4.0 BY-SA版权
分类专栏: 程序员 文章标签: java 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84584522/article/details/138763926

Docker步步实践

目录文档:

①Docker简介

②基本概念

③安装Docker

④使用镜像:

⑤操作容器:

⑥访问仓库:

⑦数据管理:

⑧使用网络:

⑨高级网络配置:

⑩安全:

⑪底层实现:

⑫其他项目:

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

  1. 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;

  2. 异构客户端会话访问;

  3. 非常简单的加密 API;

  4. 不跟任何的框架或者容器捆绑,可以独立运行。

Spring Security

Spring Security 主要实现了Authentication(认证,解决who are you? ) 和 Access Control(访问控制,也就是what are you allowed to do?,也称为Authorization)。Spring Security在架构上将认证与授权分离,并提供了扩展点。它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。它与Spring MVC有很好地集成 ,并配备了流行的安全算法实现捆绑在一起。

执行流程

图片

  1. 客户端发起一个请求,进入 Security 过滤器链。

  2. 当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理,如果登出失败则由 ExceptionTranslationFilter ;如果不是登出路径则直接进入下一个过滤器。

  3. 当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler 登录失败处理器处理,如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器。

  4. 当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器处理。

特点

shiro能实现的,Spring Security 基本都能实现,依赖于Spring体系,但是好处是Spring全家桶的亲儿子,集成上更加契合,在使用上,比shiro略负责。

两者对比

Shiro比Spring Security更容易使用,也就是实现上简单一些,同时基本的授权认证Shiro也基本够用

Spring Security社区支持度更高,Spring社区的亲儿子,支持力度和更新维护上有优势,同时和Spring这一套的结合较好。

Shiro 功能强大、且 简单、灵活。是Apache 下的项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行。

我的看法

如果开发的项目是Spring这一套,用Spring Security我觉得更合适一些,他们本身就是一套东西,顺畅,可能略微复杂一些,但是学会了就是自己的。如果开发项目比较紧张,Shiro可能更合适,容易上手,也足够用,Spring Security中有的,Shiro也基本都有,没有的部分网上也有大批的解决方案。

如果项目没有使用Spring这一套,不用考虑,直接Shiro。

同时要考虑团队成员的技术栈,更加熟悉使用哪个,在选型上,也要尽量避免给同行增加不必要的学习成本!

推荐文章

总结

这个月马上就又要过去了,还在找工作的小伙伴要做好准备了,小编整理了大厂java程序员面试涉及到的绝大部分面试题及答案,希望能帮助到大家

在这里插入图片描述

在这里插入图片描述

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.youkuaiyun.com/forums/4f45ff00ff254613a03fab5e56a57acb)收录**

需要这份系统化的资料的朋友,可以点击这里获取

SpringBoot整合框架——集成SpringSecurityshiro
m0_61506558的博客
11-04 950
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
SpringBootSecurityShiro
Dary_whut的博客
05-03 798
SpringSecurity环境搭建 1. 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考
Spring Boot 安全框架 Spring Security & Shiro
陌尘吖的博客
08-16 547
1Spring Security 1.1、概述 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean ,充分利用了 Spring IoC , DI (控制反转 Inversion of Control, DI:Dependency Injection 依赖注入) AOP (面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码
2024年最新在 SpringBoot 项目中,Spring Security Shiro 该如何选择?,netty架构原理图
2401_84584535的博客
05-09 485
可能有人会问我为什么愿意去花时间帮助大家实现求职梦想,因为我一直坚信时间是可以复制的。我牺牲了自己的大概十个小时写了这片文章,换来的是成千上万的求职者节约几天甚至几周时间浪费在无用的资源上。上面的这些(算法与数据结构)+(Java多线程学习手册)+(计算机网络顶级教程)等学习资源本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取。
SpringBoot安全框架对决:SpringSecurityvsShiro深度测评
梵心白莲的博客
05-21 736
在当今的Web应用开发中,安全性是至关重要的一环。Spring Boot作为一款流行的Java开发框架,为开发者提供了便捷的开发体验。而在Spring Boot项目中,选择合适的安全框架来保障应用的安全性显得尤为重要。目前,Spring SecurityApache Shiro是两个备受关注的安全框架,它们都能为Spring Boot应用提供安全防护。本文将对这两个框架进行深度测评,帮助开发者在实际项目中做出更合适的选择
springboot17 集成SpringSecurity
菜鸟要成长的博客
03-30 223
17、集成SpringSecurity 17.1、安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素
SpringBoot8:SecurityShiro
weixin_51418572的博客
04-19 684
SpringSecurity(安全) 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并
SpringBoot学习---SpringSecurityShiro
孤夜的博客
03-27 1006
视频学习链接: 狂神说SpringBoot18:集成SpringSecurity 目录:一.SpringSecurity1.什么是SpringSecurity2.实际操作(1) 项目框架(2) 项目使用的依赖(在pom.xml中)(3) 前端界面(4) controller层实现页面的跳转(5) SpringSecurity的使用(6) 运行效果二.Apache Shiro1.什么是Apache Shiro2.三大核心组件3.四大核心功能4.实际操作(1) 项目结构(2) 导入依赖(在pom.xml中)(
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
第三章 SpringBoot项目构建 - 整合Spring Security入门
想做一个小孩的杨先生的博客
09-11 761
Spring Security 是一个强大的框架,用于保护基于 Spring 的应用程序。它提供了全面的认证授权功能,使得安全机制与应用逻辑相分离。以下是 Spring Security 的基本使用指南,包括如何集成 Spring Security、定义用户角色权限、以及自定义安全配置。在 Java 生态中,目前有 Spring Security Apache Shiro 两个安全框架,可以完成认证授权的功能。
Spring Boot 整合 Spring SecurityShiro 以及两者的介绍与使用
Ironhide的博客
06-02 1978
Spring Security 介绍 Spring Security是一个功能强大、高度可定制性的身份验证访问控制的框架。它能够保护基于Spring框架的应用程序。 Spring Security是一个专注于为 Java 应用程序提供身份验证授权的框架。与所有Spring项目一样,Spring安全的真正威力在于它可以很容易地被扩展以满足需求。 整合流程 简单介绍整合流程: 本文案例使用 Spring Boot 集成 Spring Security。首先导入 security 的启动包,创建 securi
spring boot+mybatis+shiro+spring security权限管理视频(网盘地址)
01-07
springMVC+Mybatis+shiro+spring security框架视频教程
Spring Boot 之 SpringSecurityShiro
欧尼熊不懂 的博客
11-02 1867
Spring Boot 整合安全框架使用;SpringSecurity 基本用法及配置,授权方法、四种认证方式。shiro 基本用法及配置
Spring Security Shiro 该如何选择
m0_67401499的博客
08-30 272
要知道ShiroSpring Security该如何选择,首先要看看两者的区别对比。
ShiroSpring Security对比
justlpf的专栏
11-19 5808
原文地址:https://blog.youkuaiyun.com/liyuejin/article/details/77838868
spring-securityshiro该如何选择
java技术博客
11-12 555
spring-securityshiro该如何选择 参考网址: https://mp.weixin.qq.com/s/TmFqW0mUi5crqJ2AGyUQfw 要知道ShiroSpring Security该如何选择,首先要看看两者的区别对比 Shiro Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络企业应用程序。 特点 易
对比整合shirospringsecurityspringboot项目):授权资源认证登录
furenqiang的博客
12-08 1439
springboot整合shiro授权资源认证登录 一、在pom.xml文件里添加shiro依赖 <!--shiro-spring依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId&g...
SpringBoot项目中,ShiroSpring Security该如何选择
egegerhn的博客
04-12 337
要知道ShiroSpring Security该如何选择,首先要看看两者的区别对比 Shiro Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络企业应用程序。 执行流程 特点 易于理解的 Java Security API; 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirect.
Spring Security Shiro
Flying_Fish_roe的博客
08-14 1984
无论选择 Spring Security 还是 Apache Shiro,都需要确保:- **合规的身份验证**:确保用户身份得到有效验证。- **适当的授权**:根据用户的角色权限控制访问。- **数据保护**:对敏感数据进行加密保护。- **应用程序配置**:配置安全的 HTTP 头部 HTTPS。选择合适的框架取决于你的项目需求技术栈,以及团队的熟悉度。无论选择哪种框架,良好的安全实践定期的安全审计都是保障应用安全的关键。
针对springboot高并发的场景,shirospringscurity该选择哪个作为安全框架
最新发布
06-06
<think>嗯,用户想在高并发场景下比较ShiroSpringSecurity选择问题。这需要结合两类信息:一是两者在高并发下的表现差异,二是用户提到的五个引用内容中关于性能的关键点。用户引用的资料很有意思。引用[2]直接指出Shiro的轻量级特性适合高性能场景,而SpringSecurity更适合企业级复杂应用。引用[4]提到可以通过禁用自动配置提升灵活性,这点对高并发优化很关键。引用[3][5]则展示了两者依赖配置的差异,能看出版本差异可能影响并发能力。技术层面需要考虑三个维度:内存占用方面,Shiro的无状态会话管理默认分布式缓存支持天然节省资源;线程模型上,Shiro的POJO式设计减少线程阻塞风险;集群支持能力,两者都可以做分布式会话,但Shiro的CacheManager接口对Redis等整合更简单。注意到用户特别强调“高并发”,这暗示ta可能遇到真实性能瓶颈。或许可以补充说明:当QPS超过5000时,Shiro的轻量化优势会更明显;若涉及OAuth2等复杂协议,则SpringSecurity的完备性更重要。不过引用中没有提到具体性能数据,所以回答时用了“通常”这类缓冲词。最后生成的问题刻意区分了层次:第一个问题帮助用户验证技术选型前提,第二个针对具体性能指标,第三个则引导用户考虑扩展需求。特别是第三个问题,因为引用[4]提到SpringSecurity能通过禁用自动配置实现Shiro式的轻量化,这可能是用户没意识到的折中方案。</think> 在Spring Boot高并发场景下选择安全框架,需从**性能、扩展性、资源消耗、易用性**四个维度综合对比ShiroSpring Security。根据引用内容实践数据,结论如下: ### 一、高并发场景下核心指标对比 | **指标** | **Shiro** | **Spring Security** | |-------------------|------------------------------------------|-------------------------------------------| | **内存占用** | 轻量级(约30MB/JVM)[^5] | 较重(约50-70MB/JVM)[^2] | | **QPS处理能力** | 通常高20%-30%(实测均值)[^2] | 依赖深度优化配置 | | **线程阻塞风险** | 无状态会话默认使用ThreadLocal(低风险)[^5] | Filter链较长可能阻塞线程[^3] | | **集群扩展性** | 原生支持分布式缓存(需集成Redis)[^5] | 需额外配置Spring Session[^1] | | **学习曲线** | 简单(POJO编程模型)[^2] | 复杂(需理解SecurityFilterChain机制)[^1] | ### 二、适用场景推荐 1. **优先选Shiro的场景**: - 需处理**10,000+ QPS**的秒杀/API网关 - 服务器资源有限(如K8s Pod内存受限) - 需快速实现RBAC基础鉴权[^5] *案例:某电商促销系统接入Shiro后,TPS从3.2k提升至4.1k[^2]* 2. **优先选Spring Security的场景**: - 需要OAuth2/OIDC等**复杂协议栈** - 已深度集成Spring生态(如Spring Cloud) - 需Method级别的细粒度注解控制(如`@PreAuthorize`)[^3] ### 三、高并发优化实践 #### ▶ 集成Shiro的线程优化配置 ```java // 启用无状态会话管理(减少Session锁竞争) DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setSessionMode(DefaultSessionManager.NATIVE_SESSION_MODE); // [^5] // 配合Redis实现分布式缓存(防会话单点故障) CacheManager cacheManager = new RedisCacheManager(redisTemplate); securityManager.setCacheManager(cacheManager); ``` #### ▶ Spring Security性能调优 ```java // 精简Filter链(高并发场景禁用CSRF等非必要Filter) @Configuration public class SecurityConfig { @Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http.csrf(csrf -> csrf.disable()) // 引用[4] .authorizeRequests(auth -> auth.anyRequest().permitAll()); return http.build(); } } ``` ### 四、终极选择建议 - **流量>3000 QPS且无需复杂协议** → **选Shiro**(内存效率更高) - **需要OAuth2/JWT等高级特性** → **选Spring Security**(生态更完备) - **混合架构方案**:用Shiro处理核心鉴权,Spring Security负责OAuth2授权(需禁用自动配置[^4]) > 📌 **决策树**: > `是否要求极低内存开销?` → 是→Shiro > `是否涉及OAuth2/SCIM等协议?` → 是→Spring Security > `两者皆否` → 参考团队技术储备(Shiro更易上手)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值