首页  

Spring Security 和 Shiro     所属分类 shiro 浏览量 99
安全管理框架 可以完成认证和授权的功能

认证(Authentication)
验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户

授权(Authorization)
经过认证后判断当前用户是否有权限进行某个操作


Spring Security spring-security对spring整合较好,使用起来更加方便; 有更强大的spring社区进行支持; 支持第三方的 oauth 授权 Spring Security一般流程 1. 用户登录时,前端将用户输入的用户名、密码信息传输到后台,后台用一个类对象将其封装起来,通常是 UsernamePasswordAuthenticationToken 这个类 2. 用户密码验证 调用Service根据username从数据库中取用户信息到实体类的实例中,比较两者的密码, 如果密码正确就成功登陆,同时把包含着用户的用户名、密码、所具有的权限等信息的类对象放到SecurityContextHolder(安全上下文容器,类似Session) 3. 用户访问一个资源的时候,首先判断是否是受限资源。如果是的话判断当前是否登录,没有的话就跳到登录页面。 4. 如果用户已经登录,访问一个受限资源的时候,程序要根据url去数据库中取出该资源所对应的所有可以访问的角色,然后拿着当前用户的所有角色一一对比,判断用户是否可以访问
shiro 简单 灵活 可脱离spring使用 1. 易于理解的 Java Security API; 2. 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等); 3. 对角色的简单的签权(访问控制),支持细粒度的签权; 4. 支持一级缓存,以提升应用程序的性能; 5. 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境; 6. 异构客户端会话访问; 7. 非常简单的加密 API; 8. 不跟任何的框架或者容器捆绑,可以独立运行。 四大核心功能:Authentication,Authorization,Cryptography,Session Management 1. Authentication:身份认证/登录,验证用户是不是拥有相应的身份; 2. Authorization: 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情, 常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; 3. Session Manager: 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; 4. Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; Shiro三个核心组件:Subject, SecurityManager 和 Realms. 1. Subject:主体,任何可以与应用交互的用户; 2. SecurityManager: 相当于 SpringMVC 中的 DispatcherServlet 或者 Struts2 中的 FilterDispatcher; 所有具体的交互都通过 SecurityManager 进行控制; 它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理。 3. Realm:域,Shiro从Realm获取安全数据(如用户、角色、权限), SecurityManager要验证用户身份,需要从Realm获取相应的用户进行比较以确定用户身份是否合法; 也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作; 可以把Realm看成DataSource,即安全数据源 授权第三方登录需要手动实现
Spring Security的权限细粒度更高 https://gitee.com/dyyx/Shiro.git https://gitee.com/dyyx/spring-security

上一篇     下一篇
基于 CAS 的 OSS 流程说明

每日一曲合集

握笔姿势的重要性

hutool IdUtil

hutool 加密解密工具 SecureUtil

Java开源加密库 Bouncy Castle BC库