Spring Security ,Apache Shiro的对比及数据级权限实现

最新推荐文章于 2021-02-13 14:17:34 发布
最新推荐文章于 2021-02-13 14:17:34 发布
阅读量958 收藏
点赞数
分类专栏: java技术 文章标签: Spring Security Apache MVC

如题。

 

  以前搞过一阵子的Spring security,现在看来,这个东西除了能和Spring更好的整合外,其它的没有什么太明显的优点。

 现在的SpringSecurity显得太笨重了。 一大堆的Filter层层过滤,一个简单的请求,最少得经过它的8Filter左右,让人很不爽。以及一大堆配置,虽然提供了简化配置,但是哪有完全符合自己需求的东西,最后还是得自己慢慢研究文档和源码。另外,学习曲线也不低。

 最后,它的那个ACL方案纯粹是摆设(数据过滤在查询后、提供另外的几个表来维护权限数据,当数据量很大时,不太现实),我相信很少人会把它的那个方案应用到生产环境中。实际上运用Spring MVC的拦截器就能轻松的实现它绝大部分的功能。

  InfoQ上看到一篇文章介绍了 Apache-shiro

http://www.infoq.com/cn/articles/apache-shiro

 

看上去感觉还不错,至少比Spring Security强(连Spring的官方都不用Spring Security,而用的Shiro),但是不知道如何才能实现数据级权限.有人说细粒度权限是和业务整合在一起的,无法实现通用。既然都提炼出了细粒度和权限这两个词,说明还是有共通的地方,目前国内关于Shiro的资料还很少,有了解的指导一下Shiro的学习及细粒度权限实现

 

  之前已经有人发过权限探讨的帖子了,感觉最后也没有讨论出什么结果,这个东西基本上在每个应用中都会出现的。再次发帖

Shiro&SpringSecurity(面试题 )
qq_74872127的博客
03-25 784
Spring Security 是一个基于 Spring 框架的安全框架,提供了完整的安全解决方案,包括认证、授权、攻击防护等功能。其核心功能包括认证:指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。授权:指的是验证某个用户是否有权限执行某个操作攻击防护:指的是防止伪造身份攻击防护:提供了多种防护机制,如跨站点请求伪造(CSRF)防护、注入攻击防护等。会话管理:提供了会话管理机制,如令牌管理、并发控制等。监视与管理:提供了监视与管理机制,如访问日志记录、审计等。
Spring Boot与Shiro实现权限管理
11-12
Spring BootApache Shiro是两个常用的技术框架,它们可以很好地协同工作,实现用户认证授权功能。下面将详细介绍如何利用这两个工具来搭建一个强大的权限管理系统。 **Spring Boot** Spring Boot是Spring框架的...
apache shiro 管理用户权限与数据库交互
02-10
apache shiro 管理用户权限与数据库交互
ShiroSpring Security对比
热门推荐
零點的专栏
09-04 12万+
Shiro简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Apache ShiroSpring Security学习
我家猫叫奥利奥
07-20 2008
参考资料: 1)Apache Shiro Apache Shiro:http://shiro.apache.org/ 在Web项目中应用 Apache Shiro:http://www.ibm.com/developerworks/cn/java/j-lo-shiro/ Apache Shiro权限框架在SpringMVC+Hibernate中的应用:http://www.thinksaas
java shiro security_安全框架ShiroSpringSecurity的比较
weixin_39663378的博客
02-13 143
两个基本的概念安全实体:系统需要保护的具体对象数据权限:系统相关的功能操作,例如基本的CRUDShiro首先Shiro较之 Spring SecurityShiro在保持强大功能的同时,还在简单性灵活性方面拥有巨大优势。Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点:易于理解的 Java Security API;简单的身份认...
SpringBoot与Shrio(三)授权部分
梦回乌托邦
11-30 369
索引简易版数据库设计 简易版数据库设计 关于权限的数据库设计: 1.用户与角色绑定,角色与权限绑定,权限与资源绑定 2.不想基于权限字符串管理:用户与角色绑定 3.不想基于角色管理:用户与权限绑定 4.不想让角色权限关联:用户与角色绑定,用户与权限绑定 这里使用第一种,用户与角色多对多,角色与权限多对多,权限与资源一对一 用户表 角色表 权限表 用户角色表 角色权限表 ...
Spring SecurityShiro的相同点与不同点整理
08-25
Spring SecurityApache Shiro都是Java领域中广泛使用的安全框架,它们为应用程序提供了强大的身份验证、授权会话管理功能。虽然两者在很多方面有相似之处,但也有各自的特点适用场景。 **相同点:** 1. **...
springsecurityshiro
05-27
Spring SecurityApache Shiro都是Java领域内的主流安全框架,它们提供了一整套解决方案来保护应用程序免受未经授权的访问攻击。让我们详细探讨这两个框架的核心概念、功能以及它们如何帮助开发者实现安全性。 ...
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
Spring Security可以作为Spring Boot的安全模块,但在这里我们选择了Apache Shiro来处理权限控制。 **Apache Shiro** Apache Shiro是一个轻量级的安全框架,它专注于认证、授权(权限会话管理。在本项目中,...
Java企业级权限系统,Spring Security,Apache Shiro,Spring MVC,RBAC模型
08-11
Java企业级权限系统,可供学习Spring Security权限框架、 Apache Shiro权限框架、Spring MVC、 RBAC模型、模块开发等等,内有详细视频教程,由于上传大小限制,可联系免费获取!
Spring Security Apache Shiro你需要具备哪些条件
08-18
主要介绍了Spring Security Apache Shiro你需要具备哪些条件,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Shiro权限管理示例(包括数据库结构)
02-07
一个完整的Shiro项目,实现Shiro权限管理,附件里包括数据库结构(mysql),可直接运行
ssm+shiro基于资源的权限控制框架(包含权限的认证、授权细致讲解),数据库使用mysql
12-27
Java语言的框架整合及权限的控制(粗粒度、细粒度) SSM(spring+springmvc+mybatis)的整合 SSM+shiro基于资源的权限控制整合demo 配置文件原理的注释 shiro的认证、授权、及从数据库mysql获取的认证信息方法都有提供
spring security 读取数据库权限信息
03-17
项目自身的权限信息结合spring security 框架的实现。 本DEMO只包括从数据库读取登录认证信息,认证通过后 从数据库读取授权信息来控制用户的访问.权限元素包括 用户,角色,菜单以及这三者的关系。 本DEMO使用了spring security, hibernate jpa 以及struts.
权限控制框架Spring Security Shiro 的总结
weixin_30508241的博客
07-14 377
关于权限控制,一开始感觉比较难,后来先是接触了Spring Security 学起来也比较吃力,再是学习了Shiro,感觉简单很多。 总体来说这些框架,主要做了两个事情 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或...
Shiro学习-身份验证
青衫烟雨客的专栏
03-15 518
                                                       Shiro学习-身份验证作者:vashon时间:2018-03-15简介Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,...
安全框架之spring-securityshiro对比
weixin_45565568的博客
09-21 571
转载于https://blog.youkuaiyun.com/zzzzzzzxp/article/details/105505941 Shiro对比Spring-Security 一.什么是Shiro? 官网介绍:https://github.com/apache/shiro Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络企业应用程序。 二.什么是Spring-Sec
Spring SecurityApache Shiro原理分析
Jack__iT的博客
11-21 1616
Apache Shiro   Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络企业应用程序。与Spring Security 相比,shiro灵活性强,易学易扩展。同时,不仅可以在web中使用,可以工作在任务环境内中。如果对权限要求比较高的项目,个...
springsecurityshiro对比
最新发布
03-22
### Spring SecurityShiro的功能差异 Spring SecurityApache Shiro作为主流的Java安全框架,其功能存在显著差异。Spring Security专注于Web应用的安全性,提供了强大的细粒度访问控制机制以及对多种攻击形式的有效防护措施[^1]。相比之下,Shiro不仅适用于Web场景,还能够很好地支持非Web环境下的安全性需求[^2]。 #### 功能对比 - **使用场景** Spring Security主要面向Web应用程序开发,而Shiro则更加灵活,可以用于任何形式的应用程序(包括但不限于桌面端服务端)。因此,在需要构建跨平台或非标准网络协议的服务时,Shiro可能是更优的选择。 - **配置复杂度** Spring Security以其全面性高度定制化著称,但也带来了较高的学习曲线技术门槛。对于初学者而言,它的配置过程可能会显得繁琐且难以理解[^3]。与此同时,Shiro的设计理念强调简单直观的操作体验,使得开发者能够在较短时间内完成基本设置并投入使用。 - **防止攻击能力** 在抵御潜在威胁方面,两款产品也表现出不同特点。例如,当涉及到CSRF保护等功能模块时,只有Spring Security内置了相应解决方案;而对于输入数据合法性的初步筛查工作,则由各自采用的方法决定——其中Shiro仅仅关注URL路径部分是否存在非法字符组合情况(如分号、反斜杠及超出ASCII范围之外的内容),而不涉及其他组成部分(HDRs/Params etc.) 的检测环节。 ### 性能对比 关于两者的运行效率问题并没有绝对结论因为这往往依赖具体实现细节以及实际应用场景等因素共同作用的结果。然而一般情况下由于Spring Security内部结构相对庞大并且集成了众多额外特性所以理论上讲它或许会消耗更多资源从而影响整体表现水平特别是在高并发请求条件下这种差距可能变得更加明显一些但是考虑到现代硬件设施的进步程度通常不会成为瓶颈所在除非特别极端状况下才会显现出来 。另一方面尽管如此轻量级架构设计思路让SHIRO具备一定速度上的优势尤其是在那些只需要基础认证授权操作而无需太多高级特性的场合里体现得尤为突出 。 ```java // 示例代码展示两种框架初始化方式区别 // Spring Security Configuration Example @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated(); } } // Apache Shiro Configuration Example @Bean public Realm myRealm() { return new MyCustomRealm(); // 自定义领域逻辑 } ``` ### 使用场景分析 最终选择哪一种工具应该基于以下几个方面的考量: - 如果当前项目已经大量采用了Spring生态体系组件,并且未来规划当中也会继续沿用下去的话那么毫无疑问优先考虑选用Spring Security因为它天然就拥有良好的兼容性无缝衔接的优势; - 对于小型独立微服务或者是某些特殊用途的小型工具类软件来说如果只是单纯为了满足简单的登录退出管理加上角色判断之类的基础需求而已此时引入整个庞大的SS库显然有些浪费于是乎这时候就可以转而投向更为简洁明快风格代表作之一即为Apahce SHIRO啦! ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值