Shiro vs. Spring Security

时间:2011-02-14 10:30:08

标签: java spring spring-security shiro

我目前正在评估基于Java的安全框架,我是一个Spring 3.0用户,所以SpringSecurity似乎是正确的选择,但是Spring安全性似乎过于复杂,它似乎并不像是让安全更容易实施,Shiro似乎更连贯,更容易理解。我正在寻找这两个框架之间的利弊列表。

3 个答案:

答案 0 :(得分:116)

我也同意Spring Security感觉太复杂了(对我而言)。当然,他们已经做了降低复杂性的工作,比如创建自定义XML命名空间以减少XML配置的数量,但对我来说,这些并不能解决Spring安全的 my 个人基本问题:它的名称和概念通常会让我感到困惑。很难“得到它”。

你开始使用Shiro的第二个,你只是'得到它'。在安全领域难以理解的是更容易理解。在JDK中使用难以忍受的事情(例如密码)被简化到不仅可以忍受的水平,而且通常是使用的乐趣。

例如,如何散列+ salt密码并在Java或Spring Security中对其进行base64编码?与Shiro的解决方案一样简单直观:

ByteSource salt = new SecureRandomNumberGenerator().nextBytes();
new Sha512Hash(password, salt).toBase64();

不需要commons-codec或其他任何东西。只是Shiro jar。

现在关于Spring环境,大多数Shiro开发人员都使用Spring作为他们的主要应用程序环境。这意味着Shiro的Spring集成非常出色,而且一切都运行得非常好。您可以放心,如果您正在编写Spring应用程序,那么您将拥有全面的安全体验。

例如,请考虑此线程中另一篇文章中的Spring XML配置示例。以下是你在Shiro中(基本上)做同样的事情:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/home.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <property name="filterChainDefinitions">
        <value>
        /secure/** = authc
        /** = anon
        </value>
    </property>
</bean>

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="myRealm"/>
</bean>

<bean id="myRealm" class="...">
    ...
</bean>

虽然比其他Spring示例略显冗长,但更容易阅读IMO。

您还会发现使用Shiro的过滤器链定义可能是定义常规过滤器链和基于Web的安全规则的最简单方法!比在web.xml中定义它们要好得多。

最后,Shiro也提供了极端的“可插拔性”。你会发现,由于Shiro的POJO /注塑友好架构,你可以配置和/或替换任何东西。 Shiro几乎可以将所有内容默认为默认值,您可以仅覆盖或配置所需内容。

在一天结束时,我认为选择这两者中的任何一个更多是关于你的心理模型 - 两者中的哪一个更有意义,对你来说更直观?对于一些人来说,这将是Shiro,对于其他人来说,它将是Spring Security。 Shiro在Spring环境中运行得很好,所以我会根据你喜欢的两个中的哪一个来选择并且对你最有意义。

有关Shiro Spring集成的更多信息:http://shiro.apache.org/spring.html

答案 1 :(得分:31)

我没有使用Shiro的经验,我“部分”同意你对Spring Security的看法。在Spring Security 3.x之前,Spring Security(或Acegi)的设置非常痛苦。一个简单的基于角色的配置将需要至少140行神秘的XML配置...我知道这是因为我实际上自己计算了这些行。这是你设置一次的东西,你祈祷它会永远工作而不再触摸配置,因为你可以保证你已经忘记了所有配置的含义。 :)

使用Spring Security 3.x,它有了极大的改进。它引入了security命名空间,大大缩短了140行到~30行的配置。以下是我的一个项目的Spring Security 3.x示例: - 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <security:http auto-config="true">
        <security:form-login login-page="/index.do" authentication-failure-url="/index.do?login_error=1" default-target-url="/index.do"
            always-use-default-target="true" />
        <security:logout logout-success-url="/index.do" />
        <security:intercept-url pattern="/secure/**" access="ROLE_ADMIN,ROLE_USER" />
        <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    </security:http>

    <bean id="customAuthenticationProvider" class="my.project.CustomAuthenticationProviderImpl">
        ...
    </bean>

    <security:authentication-manager>
        <security:authentication-provider ref="customAuthenticationProvider" />
    </security:authentication-manager>

</beans>

Spring Security 3.x的优点在于它是非常可配置的,这有助于一个主要缺点:太难理解。文档也不容易阅读,因为我只是部分熟悉Spring Security使用的一些术语。但是,如果您需要创建自定义配置或控制您希望安全性的粒度,则可以使用这些选项。或者,你可以坚持上述&lt; 30行,用于执行基于角色的安全检查。

我真正喜欢Spring Security,一旦设置安全性就无缝集成到项目中。就好像实际的项目代码不知道安全性的存在......这很好,因为它允许我在将来轻松分离或升级安全组件(例如:将数据库auth更改为LDAP / CAS AUTH)。

答案 2 :(得分:20)

我使用Spring Security(版本3.1)已经有几个月了,并且非常满意。它非常强大,并且具有一些非常好的功能,特别是在我像以前一样手动实现所有功能之后!但是,就像我在某个地方读到的那样,你在应用程序开发之初就设置了一些东西,然后祈祷它继续工作直到最后,因为如果你必须去修复它你会可能已经忘记了你必须参与的大部分内容。

然后出现了一个新项目,其中包含更复杂的安全要求。简而言之,我们必须在几个相关的webapps之间实现某种自定义SSO。

我确切地知道我想要在HTTP逻辑,cookie,会话ID和内容方面实现什么,以及应该以什么顺序发生什么,但是我花了大部分时间来努力使用Spring Security API,无法确切地知道我应该实现或覆盖的类或接口,以及如何在上下文中插入它们。整个API感觉非常复杂,有时甚至有点深奥。虽然doc对于一般用例甚至一些自定义都非常有用,但它并不足以满足我的需求。

在这里和网上其他一些地方阅读答案后,我得到的印象是,Shiro更容易理解并根据我的需求进行定制。所以我试了一下。

我很高兴我做到了,因为经过一天的努力,我设法学习了很多关于API的信息,不仅可以在我的Spring webapp中设置基本的身份验证和授权系统,而且还可以实现自定义SSO我一直在寻找的行为。我只需要扩展2或3个类,整个过程在我的Spring环境中只需要大约25行XML配置。

所以作为一个结论,关于易用性和学习曲线方面,Shiro真的非常可爱,我想我将来可能会用它,除非我遇到一些功能缺乏或其他一些问题(我还没有到目前为止。)

TL; DR:两者都很强大,但是Shiro更容易学习。

相关问题
最新问题