我目前正在评估基于Java的安全框架,我是Spring 3.0用户,因此似乎似乎SpringSecurity是正确的选择,但是Spring安全性似乎受到过分复杂的困扰,它似乎并没有使安全性易于实现, Shiro似乎更加连贯,更容易理解。我正在寻找这两个框架之间的利弊清单。
我也同意Spring Security对我来说感觉太复杂了。当然,他们已经做了一些降低复杂性的事情,例如创建自定义XML名称空间以减少XML配置的数量,但是对我来说,这些并不能解决我个人关于Spring Security的基本问题:其名称和概念通常会使人困惑,我。很难“得到它”。
不过,你开始使用Shiro的第二个步骤就是“得到它”。在安全世界中很难理解的东西就更容易理解了。在JDK中难以使用的东西(例如Ciphers)被简化到不仅可以忍受的程度,而且常常使人乐于使用。
例如,如何在Java或Spring Security中对密码进行哈希+盐加上base64编码?都不如Shiro的解决方案那么简单直观:
ByteSource salt = new SecureRandomNumberGenerator().nextBytes(); new Sha512Hash(password, salt).toBase64();
不需要通用编解码器或其他任何东西。只是四郎jar。
现在关于Spring环境,大多数Shiro开发人员都将Spring作为其主要应用程序环境。这意味着Shiro的Spring集成非常出色,并且一切都非常好。你可以放心,如果你正在编写Spring应用程序,那么你将拥有全面的安全体验。
例如,在该线程的另一篇文章中考虑Spring XML配置示例。这是你在Shiro(基本上)将做的事情(基本上):
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login.jsp"/> <property name="successUrl" value="/home.jsp"/> <property name="unauthorizedUrl" value="/unauthorized.jsp"/> <property name="filterChainDefinitions"> <value> /secure/** = authc /** = anon </value> </property> </bean> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="myRealm"/> </bean> <bean id="myRealm" class="..."> ... </bean>
尽管比其他Spring示例更加详细,但更易于阅读IMO。
你还会发现使用Shiro的过滤器链定义可能是定义常规过滤器链和基于Web的安全规则的最简单方法!比在web.xml中定义更好。
最后,Shiro还提供了极高的“可插拔性”。你会发现由于Shiro的POJO /注入友好架构,你几乎可以配置和/或替换任何东西。Shiro几乎将所有默认设置都设为默认设置,你可以覆盖或仅配置所需的设置。
归根结底,我认为选择这两个选项中的任何一个都更适合你的心理模型-两者中哪个更有意义并且对你来说更直观?对于某些人来说将是Shiro,对于其他人来说将是Spring Security。Shiro在Spring环境中运行良好,因此我想根据两者中的哪一个选择你更喜欢的并且对你来说最有意义。