1.Shiro 框架
Java的一个安全框架;
对比Spring Security,可能没有Spring Security做的功能强大特点:
易于理解的 Java Security API;
简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory 等);
对角色的简单的签权(访问控制),支持细粒度的签权;
支持一级缓存,以提升应用程序的性能;
内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;
异构客户端会话访问;
非常简单的加密 API;
不跟任何的框架或者容器捆绑,可以独立运行。
2.Spring Security
一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持,基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架;
提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control,DI:Dependency Injection依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作;
“认证”是为用户建立一个其声明的角色的过程,这个角色可以一个用户、一个设备或者一个系统;
“验证”指的是一个用户在你的应用中能够执行某个操作,在到达授权判断之前,角色已经在身份认证过程中建立了。
Shiro和Spring Security也是有区别的,Shiro比Spring更容易使用,更容易理解,Spring-security 对spring结合较好,如果项目用的springmvc,使用起来很方便。但是如果项目中没有用到spring,那就不要考虑它了。
