ams*_*ams 132 java spring spring-security shiro
我目前正在评估基于Java的安全框架,我是一个Spring 3.0用户,所以SpringSecurity似乎是正确的选择,但Spring安全性似乎过于复杂,它似乎并不像是让安全性更容易实现, Shiro似乎更连贯,更容易理解.我正在寻找这两个框架之间的利弊列表.
Les*_*ood 118
我也同意Spring Security感觉太复杂了(对我而言).当然,他们已经做了降低复杂性的事情,比如创建自定义XML命名空间以减少XML配置的数量,但对我而言,这些并没有解决我在Spring Security中的个人基本问题:它的名称和概念通常会让人感到困惑.我."得到它"很难.
第二个你开始使用Shiro,你只是'得到它'.在安全领域难以理解的是更容易理解.在JDK中使用难以忍受的事情(例如密码)被简化到不仅可以忍受的水平,而且通常是使用的乐趣.
例如,你如何散列+ salt密码和base64在Java或Spring Security中编码?与Shiro的解决方案一样简单直观:
ByteSource salt = new SecureRandomNumberGenerator().nextBytes();
new Sha512Hash(password, salt).toBase64();
不需要commons-codec或其他任何东西.只是Shiro罐子.
现在关于Spring环境,大多数Shiro开发人员使用Spring作为他们的主要应用程序环境.这意味着Shiro的Spring集成非常出色,而且一切都运行得非常好.您可以放心,如果您正在编写Spring应用程序,您将获得全面的安全体验.
例如,请考虑此线程中另一篇文章中的Spring XML配置示例.以下是你在Shiro中(基本上)做同样事情的方式:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="successUrl" value="/home.jsp"/>
<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
<property name="filterChainDefinitions">
<value>
/secure/** = authc
/** = anon
</value>
</property>
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="myRealm"/>
</bean>
<bean id="myRealm" class="...">
...
</bean>
虽然比其他Spring示例略显冗长,但更容易阅读IMO.
您还会发现使用Shiro的过滤器链定义可能是定义常规过滤器链和基于Web的安全规则的最简单方法!比在web.xml中定义它们要好得多.
最后,Shiro也提供极端的"可插拔性".你会发现,由于Shiro的POJO /注塑友好架构,你可以配置和/或替换任何东西.Shiro几乎可以将所有内容默认为默认值,您可以仅覆盖或配置所需内容.
在一天结束时,我认为选择这两者中的任何一个更多是关于你的心理模型 - 两者中的哪一个更有意义,对你来说更直观?对于一些人来说,这将是Shiro,对于其他人来说,它将是Spring Security.Shiro在Spring环境中运行得很好,所以我想根据你喜欢的两个中的哪一个来选择并且对你来说最有意义.
有关Shiro的Spring集成的更多信息:http://shiro.apache.org/spring.html
lim*_*imc 32
我没有使用Shiro的经验,我"部分"同意你所说的关于Spring Security的内容.在Spring Security 3.x之前,Spring Security(或Acegi)的设置非常痛苦.一个简单的基于角色的配置将需要至少140行神秘的XML配置...我知道这是因为我实际上自己计算了这些行.这是你设置一次的东西,你祈祷它会永远工作而不再触摸配置,因为你可以保证你已经忘记了所有配置的含义.:)
使用Spring Security 3.x,它有了极大的改进.它引入了security命名空间,大大缩短了140行到~30行的配置.以下是我的一个项目的Spring Security 3.x示例: -
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<security:http auto-config="true">
<security:form-login login-page="/index.do" authentication-failure-url="/index.do?login_error=1" default-target-url="/index.do"
always-use-default-target="true" />
<security:logout logout-success-url="/index.do" />
<security:intercept-url pattern="/secure/**" access="ROLE_ADMIN,ROLE_USER" />
<security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
</security:http>
<bean id="customAuthenticationProvider" class="my.project.CustomAuthenticationProviderImpl">
...
</bean>
<security:authentication-manager>
<security:authentication-provider ref="customAuthenticationProvider" />
</security:authentication-manager>
</beans>
Spring Security 3.x的优点在于它具有极强的可配置性,这是其中一个主要缺点:太难理解.文档也不容易阅读,因为我只是部分熟悉Spring Security使用的一些术语.但是,如果您需要创建自定义配置或控制您希望安全性的粒度,则可以使用这些选项.否则,您可以坚持使用上述<30行来执行基于角色的安全检查.
我真正喜欢Spring Security的是,一旦设置安全性就可以无缝地集成到项目中.就好像实际的项目代码不知道安全性的存在......这很好,因为它允许我在将来轻松分离或升级安全组件(例如:将数据库auth更改为LDAP/CAS AUTH).
Pie*_*nry 21
我已经使用Spring Security(3.1版)几个月了,并对它非常满意.它非常强大并且具有一些非常好的功能,特别是在我像以前一样手工实现所有功能之后!但是,就像我在某个地方读到的那样,你在应用程序开发之初就设置了一些东西,然后祈祷它继续工作直到最后,因为如果你必须去修复它你会可能已经忘记了你必须参数的大部分内容.
但随后出现了一个新项目,其中包含更复杂的安全要求.简而言之,我们必须在几个相关的webapps之间实现某种自定义SSO.
我确切地知道我想要在HTTP逻辑,cookie,会话ID和内容方面实现什么,以及应该以什么顺序发生什么,但是我花了大部分时间来努力使用Spring Security API,但仍然无法想象究竟是什么类或接口我应该实现或覆盖,以及如何在上下文中插入它们.整个API感觉非常复杂,有时甚至有点深奥.尽管doc对于一般用例甚至一些自定义都非常有用,但它并不足以满足我的需求.
在阅读了这里以及网络上其他一些地方的答案后,我得到的印象是,Shiro更容易理解并根据我的需求进行定制.所以我试一试.
我很高兴我做到了,因为经过一天的努力,我设法学习了很多关于API的信息,不仅可以在我的Spring webapp中设置基本的身份验证和授权系统,而且还可以实现自定义的SSO行为.寻找.我只需要扩展2或3个类,在我的spring上下文中,整个过程只需要大约25行XML配置.
所以作为一个结论,关于易用性和学习曲线方面,Shiro真的非常可爱,我想我将来可能会继续使用它,除非我遇到一些功能缺乏或其他一些问题(我没有至今).
TL; DR:两者都很强大,但是Shiro更容易学习.
| 归档时间: |
|
| 查看次数: |
42964 次 |
| 最近记录: |