java

关注公众号 jb51net

关闭
首页 > 软件编程 > java > shiro和security的区别

Java中shiro框架和security框架的区别

作者:飘飘~

这篇文章主要介绍了Java中shiro框架和security框架的区别,shiro和security作为两款流行的功能强大的且易于使用的java安全认证框架,在近些年中的项目开发过程中使用广泛,今天我们就来一起了解一下两者的区别

一、shiro

Shiro三个核心组件:

Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者;

SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是Shiro的核心,它负责与后边介绍的其他组件进行交互,如果学习过SpringMVC,你可以把它看成DispatcherServlet前端控制器;

Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

Shiro架构与功能介绍

认证与授权相关基本概念

二、 security

Spring Security 主要实现了Authentication(认证,解决who are you ) 和 Access Control(访问控制,也就是what are you allowed to do?,也称为Authorization)。

Spring Security在架构上将认证与授权分离,并提供了扩展点。

它是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持。

它与Spring MVC有很好地集成,并配备了流行的安全算法实现捆绑在一起。

实现流程:

客户端发起一个请求,进入 Security 过滤器链。

当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理,如果登出失败则由 ExceptionTranslationFilter ;如果不是登出路径则直接进入下一个过滤器。

当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler 登录失败处理器处理,如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器。

当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器处理。

三、区别

Shiro比Spring Security更容易使用,也就是实现上简单一些,同时基本的授权认证Shiro也基本够用Spring Security社区支持度更高,Spring社区的亲儿子,支持力度和更新维护上有优势,同时和Spring这一套的结合较好。

Shiro 功能强大、且 简单、灵活。

是Apache 下的项目比较可靠,且不跟任何的框架或者容器绑定,可以独立运行。

总结: 

最终选择还是看项目,如果是spring项目那一套,尽量还是选择Spring Security,能更加方便顺畅。

但相比于shiro略微复杂,如果项目周期短,尽量还是选择shiro,功能齐全且他人解决方法多。 

到此这篇关于Java中shiro框架和security框架的区别的文章就介绍到这了,更多相关shiro和security的区别内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文