Shiro与SpringSecurity的比较

132

我目前正在评估基于Java的安全框架，我是Spring 3.0用户，因此看来SpringSecurity将是正确的选择，但是Spring安全性似乎遭受了过多的复杂性困扰，当然似乎并没有使安全性易于实现， Shiro似乎更加连贯，更容易理解。我正在寻找这两个框架之间的利弊清单。

— 阿姆斯
source

118

我也同意Spring Security对我来说感觉太复杂了。当然，他们做了一些降低复杂性的事情，例如创建自定义XML名称空间以减少XML配置的数量，但是对我来说，这些并不能解决我的 Spring Security的个人基本问题：其名称和概念通常会使人困惑，我。很难'得到它'。

不过，您开始使用Shiro的第二个步骤就是“得到它”。在安全世界中很难理解的东西就更容易理解了。在JDK中难以使用的东西（例如Ciphers）被简化到不仅可以忍受的程度，而且常常使人乐在其中。

例如，如何在Java或Spring Security中对密码进行哈希+盐加上base64编码？都不如Shiro的解决方案那么简单直观：

ByteSource salt = new SecureRandomNumberGenerator().nextBytes();
new Sha512Hash(password, salt).toBase64();

不需要通用编解码器或其他任何东西。只是四郎罐子。

现在关于Spring环境，大多数Shiro开发人员都将Spring作为其主要应用程序环境。这意味着Shiro的Spring集成非常出色，并且一切都非常好。您可以放心，如果您正在编写Spring应用程序，那么您将获得全面的安全体验。

例如，在该线程的另一篇文章中考虑Spring XML配置示例。这是您在Shiro中（基本上）要做的事情（基本上）：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="successUrl" value="/home.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <property name="filterChainDefinitions">
        <value>
        /secure/** = authc
        /** = anon
        </value>
    </property>
</bean>

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="myRealm"/>
</bean>

<bean id="myRealm" class="...">
    ...
</bean>

尽管比其他Spring示例更详细，但更易于阅读IMO。

您还会发现使用Shiro的过滤器链定义可能是定义常规过滤器链和基于Web的安全规则的最简单方法！比在web.xml中定义更好。

最后，Shiro还提供了出色的“可插拔性”。您会发现由于Shiro的POJO /注入友好架构，您几乎可以配置和/或替换任何东西。Shiro几乎将所有默认设置都设为默认设置，您可以覆盖或仅配置所需的设置。

归根结底，我认为选择这两个选项中的任何一个都更适合您的心理模型-两者中哪个更有意义并且对您来说更直观？对于某些人来说将是Shiro，对于其他人来说将是Spring Security。Shiro在Spring环境中表现出色，因此我想根据两者之间的比较来选择，这对您来说是最有意义的。

有关Shiro的Spring集成的更多信息，请访问：http : //shiro.apache.org/spring.html

— 莱斯·哈兹伍德
source

在开始使用shiro之前，我已经阅读了所有这些内容。Shiro注释似乎在春季遇到了一些问题，有关如何解决它的信息非常复杂，并且stackoverflow中有很多帖子（我自己发布了1或2个帖子），大多数时候都找不到答案。我很认真地认为，尽管说起来很复杂，但我还是应该去参加春季安全展，因为我确信我可以让人们为我指明正确的方向。

— 黑色老师

@blacksensei您解决了您提到的问题吗？坚持使用Shiro还是切换到Spring Security？

— 亚历山大·苏拉普

@AlexanderSuraphel，您好：我没有移到Spring进行该项目。一位同事正在积极使用它。我计划在一个春季启动项目中对其进行测试。它对我很好。我将移动所有其他项目。就这么简单

— 黑色老师

好的，我决定尝试Shiro进行下一个项目！

— Eric Wang

32

我没有使用Shiro的经验，我“部分”同意您所说的Spring Security。在Spring Security 3.x之前，Spring Security（或Acegi）的安装非常痛苦。一个简单的基于角色的配置将至少需要140行神秘的XML配置。。。这是您进行一次设置的地方，并且您祈祷它可以永久工作而无需再次触摸配置，因为您可以确保忘记所有配置的含义。:)

有了Spring Security 3.x，它有了很大的改进。它引入了security名称空间，该名称空间将配置从140行大大缩短到了30行。这是我的一个项目的Spring Security 3.x的示例：-

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <security:http auto-config="true">
        <security:form-login login-page="/index.do" authentication-failure-url="/index.do?login_error=1" default-target-url="/index.do"
            always-use-default-target="true" />
        <security:logout logout-success-url="/index.do" />
        <security:intercept-url pattern="/secure/**" access="ROLE_ADMIN,ROLE_USER" />
        <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    </security:http>

    <bean id="customAuthenticationProvider" class="my.project.CustomAuthenticationProviderImpl">
        ...
    </bean>

    <security:authentication-manager>
        <security:authentication-provider ref="customAuthenticationProvider" />
    </security:authentication-manager>

</beans>

Spring Security 3.x的优点在于它具有极高的可配置性，这是主要缺点之一：太复杂了，难以理解。该文档也不容易阅读，因为我只是部分熟悉Spring Security使用的一些术语。但是，如果需要创建自定义配置或控制安全性的详细程度，则可以使用这些选项。否则，您可以坚持使用上述<30行来执行基于角色的安全检查。

我真正喜欢Spring Security的地方是，一旦设置好，安全性就会无缝集成到项目中。好像实际的项目代码不知道安全性的存在...那很好，因为它使我将来可以轻松分离或升级安全性组件（例如：将数据库身份验证更改为LDAP / CAS验证）。

— 林木
source

您想谈谈何时从基于容器的安全性转移到shiro或其他替代方法时是好的吗？这里查看更多集中的问题：stackoverflow.com/questions/7782720/...

— 拉哈特·古普塔

10

我已经尝试了shiro和spring的安全性，并且我个人认为shiro很容易理解，因为spring的安全性很复杂。我还没有弄清楚如何设置权限，可以在Spring Security中分配给角色/组/用户（我认为ACL可能是解决方案）。使用shiro相当容易。我不是spring security或shiro的专家，这只是我作为这两种用户的个人经验。

— Sudhir N 2012年

@sudhir您是否在Shiro的可配置性方面遇到任何瓶颈？

— 亚历山大·苏拉菲尔

它适用于我们所有的用户案例，我认为可以针对大多数情况进行定制。你的用例？

— 2014年

21

我一直在使用Spring Security（3.1版）几个月，对此感到非常满意。它真的很强大，并且具有一些非常好的功能，尤其是在像我之前手工完成所有操作之后！不过，就像我在某处阅读的内容一样，您在应用程序开发的初期就设置了某种内容，然后为它祈祷直到最后继续工作，因为如果您必须修复它，可能已经忘记了您必须参数化的大多数内容。

但是随后出现了一个新项目，具有更复杂的安全性要求。简而言之，我们必须在几个相关的Web应用程序之间实现某种自定义SSO。

我确切地知道我想要实现的HTTP逻辑，cookie，会话ID和内容，以及应该以什么顺序发生的事情，但是我花了大部分时间在Spring Security API上苦苦挣扎，但仍然无法解决明确指出我应该实现或重写的类或接口，以及如何将其插入上下文。整个API有时真的很复杂，有些神秘。尽管该文档非常适合一般用例，甚至可以进行一些自定义，但它的深度不足以满足我的需求。

在阅读了这里以及网络上其他地方的答案后，我得到了Shiro会更容易理解和定制以满足我的需求的印象。所以我尝试了一下。

我很高兴，因为经过一天的努力，我设法学到了足够的有关API的知识，不仅可以在Spring webapp中毫无问题地设置基本的身份验证和授权系统，而且还可以实现我自定义的SSO行为寻找。我只需要扩展2或3个类，而在我的Spring上下文中，整个过程仅花费了大约25行XML配置。

因此，作为一个结论，在易用性和学习曲线方面，Shiro确实很受人欢迎，并且我认为将来我可能会继续使用它，除非遇到一些缺少功能或其他问题（我没有至今）。

TL; DR：两者都很强大，但是Shiro易于学习。

— 皮埃尔·亨利
source

皮埃尔，谢谢您的投入。我也需要SSO。我不认为您可以显示一些必须公开哪些类的示例。

— 金安德鲁（KingAndrew），2014年

@KingAndrew：简而言之，我所做的就是实现自己的AuthorizingRealm，AuthenticationToken和AuthenticationFilter。以及所有必要的过滤器和管道。但是我做的不是“正常的” sso，它基于存储在数据库中的令牌，这是两个应用程序之间的共同点。因此，我没有使用单独的SSO服务器。

— 皮埃尔·亨利