在 SpringBoot 項(xiàng)目中，Spring Security 和 Shiro 該如何選擇？

要知道Shiro和Spring Security該如何選擇，首先要看看兩者的區(qū)別和對(duì)比

Shiro

Apache Shiro是一個(gè)強(qiáng)大且易用的Java安全框架,能夠非常清晰的處理認(rèn)證、授權(quán)、管理會(huì)話以及密碼加密。使用Shiro的易于理解的API,您可以快速、輕松地獲得任何應(yīng)用程序,從最小的移動(dòng)應(yīng)用程序到最大的網(wǎng)絡(luò)和企業(yè)應(yīng)用程序。

執(zhí)行流程

圖片

特點(diǎn)

1. 易于理解的 Java Security API；
2. 簡(jiǎn)單的身份認(rèn)證（登錄），支持多種數(shù)據(jù)源（LDAP，JDBC，Kerberos，ActiveDirectory 等）；
3. 對(duì)角色的簡(jiǎn)單的簽權(quán)（訪問控制），支持細(xì)粒度的簽權(quán)；
4. 支持一級(jí)緩存，以提升應(yīng)用程序的性能；
5. 內(nèi)置的基于 POJO 企業(yè)會(huì)話管理，適用于 Web 以及非 Web 的環(huán)境；
6. 異構(gòu)客戶端會(huì)話訪問；
7. 非常簡(jiǎn)單的加密 API；
8. 不跟任何的框架或者容器捆綁，可以獨(dú)立運(yùn)行。

Spring Security

Spring Security 主要實(shí)現(xiàn)了Authentication（認(rèn)證，解決who are you? ） 和 Access Control（訪問控制，也就是what are you allowed to do？，也稱為Authorization）。Spring Security在架構(gòu)上將認(rèn)證與授權(quán)分離，并提供了擴(kuò)展點(diǎn)。它是一個(gè)輕量級(jí)的安全框架，它確?；赟pring的應(yīng)用程序提供身份驗(yàn)證和授權(quán)支持。它與Spring MVC有很好地集成 ，并配備了流行的安全算法實(shí)現(xiàn)捆綁在一起。

執(zhí)行流程

圖片

1. 客戶端發(fā)起一個(gè)請(qǐng)求，進(jìn)入 Security 過濾器鏈。
2. 當(dāng)?shù)?LogoutFilter 的時(shí)候判斷是否是登出路徑，如果是登出路徑則到 logoutHandler ，如果登出成功則到 logoutSuccessHandler 登出成功處理，如果登出失敗則由 ExceptionTranslationFilter ；如果不是登出路徑則直接進(jìn)入下一個(gè)過濾器。
3. 當(dāng)?shù)?UsernamePasswordAuthenticationFilter 的時(shí)候判斷是否為登錄路徑，如果是，則進(jìn)入該過濾器進(jìn)行登錄操作，如果登錄失敗則到 AuthenticationFailureHandler 登錄失敗處理器處理，如果登錄成功則到 AuthenticationSuccessHandler 登錄成功處理器處理，如果不是登錄請(qǐng)求則不進(jìn)入該過濾器。
4. 當(dāng)?shù)?FilterSecurityInterceptor 的時(shí)候會(huì)拿到 uri ，根據(jù) uri 去找對(duì)應(yīng)的鑒權(quán)管理器，鑒權(quán)管理器做鑒權(quán)工作，鑒權(quán)成功則到 Controller 層否則到 AccessDeniedHandler 鑒權(quán)失敗處理器處理。

特點(diǎn)

shiro能實(shí)現(xiàn)的，Spring Security 基本都能實(shí)現(xiàn)，依賴于Spring體系，但是好處是Spring全家桶的親兒子，集成上更加契合，在使用上，比shiro略負(fù)責(zé)。

兩者對(duì)比

Shiro比Spring Security更容易使用，也就是實(shí)現(xiàn)上簡(jiǎn)單一些，同時(shí)基本的授權(quán)認(rèn)證Shiro也基本夠用

Spring Security社區(qū)支持度更高，Spring社區(qū)的親兒子，支持力度和更新維護(hù)上有優(yōu)勢(shì)，同時(shí)和Spring這一套的結(jié)合較好。

Shiro 功能強(qiáng)大、且 簡(jiǎn)單、靈活。是Apache 下的項(xiàng)目比較可靠，且不跟任何的框架或者容器綁定，可以獨(dú)立運(yùn)行。

我的看法

如果開發(fā)的項(xiàng)目是Spring這一套，用Spring Security我覺得更合適一些，他們本身就是一套東西，順暢，可能略微復(fù)雜一些，但是學(xué)會(huì)了就是自己的。如果開發(fā)項(xiàng)目比較緊張，Shiro可能更合適，容易上手，也足夠用，Spring Security中有的，Shiro也基本都有，沒有的部分網(wǎng)上也有大批的解決方案。

如果項(xiàng)目沒有使用Spring這一套，不用考慮，直接Shiro。

同時(shí)要考慮團(tuán)隊(duì)成員的技術(shù)棧，更加熟悉使用哪個(gè)，在選型上，也要盡量避免給同行增加不必要的學(xué)習(xí)成本！

1. IntelliJ IDEA 2021.1正式發(fā)布！快來看看又有哪些神仙功能加入！
2. SQL 窗口函數(shù)是什么？漲見識(shí)了！
3. SQL 子查詢?cè)趺磧?yōu)化？寫的很深！
4. 拜托！不要用“ ! = null " 做判空了
最近面試BAT，整理一份面試資料《Java面試BATJ通關(guān)手冊(cè)》，覆蓋了Java核心技術(shù)、JVM、Java并發(fā)、SSM、微服務(wù)、數(shù)據(jù)庫、數(shù)據(jù)結(jié)構(gòu)等等。
獲取方式：點(diǎn)“在看”，關(guān)注公眾號(hào)并回復(fù) Java 領(lǐng)取，更多內(nèi)容陸續(xù)奉上。
文章有幫助的話，在看，轉(zhuǎn)發(fā)吧。
謝謝支持喲 (*^__^*）