当前位置: 首页 > article >正文

Spring Security vs Shiro vs Sa-Token

一句话总结:

  • Spring Security:大公司专业保安队,功能全面但配置复杂
  • Shiro:轻便灵活的安保工具包,上手简单但功能有限
  • Sa-Token:国产智能门禁系统,开箱即用,代码极简

对比表格(核心差异)

特性Spring SecurityShiroSa-Token
学习成本高(需要理解整套安全体系)中(模块化设计)低(注解驱动,API简单)
配置复杂度复杂(XML/JavaConfig)中等(INI配置或Java)极简(几乎零配置)
功能覆盖全(认证、授权、OAuth2等)基础认证+授权基础认证+授权+踢人下线等
代码量多(模板代码多)中等少(一行注解完成校验)
社区生态国际主流(Spring家族)国际活跃(Apache项目)国内活跃(Gitee高星)

类比解释:

场景:公司安保系统
  1. Spring Security

    • 像一个专业保安公司,提供 全套方案:门禁、监控、消防、访客登记。
    • 但需要你 画图纸、写流程(配置复杂),适合大型集团(复杂系统)。
    • 例子:配置一个OAuth2登录需要写200行代码。
  2. Shiro

    • 像一套 标准化安保工具包(门锁+摄像头+手电筒)。
    • 你可以自由组合(模块化),但 高级功能要自己造轮子(如分布式会话)。
    • 例子:实现“记住我”功能需要手动处理Cookie和缓存。
  3. Sa-Token

    • 像一套 智能门禁系统,喊一声“开门”就能用(注解驱动)。
    • 自带 实用小功能:一键踢人下线、自动续签token、多账号体系隔离。
    • 例子:踢人下线只需一行代码:StpUtil.kickout(10001);

代码对比(登录校验)

1. Spring Security
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/profile").authenticated() // 登录校验
            .and().formLogin();
    }
}
// 需要搭配UserDetailsService和PasswordEncoder配置
2. Shiro
// 1. 编写Shiro过滤器配置
@Bean
public ShiroFilterFactoryBean shiroFilter() {
    ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean();
    filter.setFilterChainDefinitionMap(Map.of("/profile", "authc")); // 登录校验
    return filter;
}
// 2. 实现Realm类处理认证逻辑(需手动写代码)
3. Sa-Token
@SaCheckLogin // 直接加注解,结束!
@GetMapping("/profile")
public String profile() {
    return "用户信息";
}

应用场景推荐

  • 选 Spring Security
    企业级应用、需要OAuth2/单点登录/微服务安全、深度集成Spring生态。
  • 选 Shiro
    小型项目、快速上手、需要灵活定制权限模型。
  • 选 Sa-Token
    中小型项目、追求代码简洁、需要快速实现踢人/多端登录等功能。

面试加分回答

  1. Sa-Token 的优势

    • 独创 “无Cookie”模式(解决跨域难题)
    • 自带 路由拦截鉴权(类似网关权限控制)
    • 分布式会话只需引入Redis(无需额外代码)
  2. Spring Security 的痛点

    • 学习曲线陡峭(如 SecurityContextHolder 的设计)
    • 重复造轮子(如用 @PreAuthorize 时仍需手动处理权限表)
  3. Shiro 的不足

    • 默认会话管理不适合分布式场景
    • 注解功能弱(如不支持SpEL表达式)

一句话收尾

  • Spring Security 是航母,Shiro 是瑞士军刀,Sa-Token 是智能工具箱 —— 根据业务规模和技术栈选最顺手的即可!

http://www.kler.cn/a/586901.html

相关文章:

  • STM32U575RIT6单片机(一)
  • 利用Selenium和PhantomJS提升网页内容抓取与分析的效率
  • DataWhale大语言模型-大模型技术基础
  • prometheus-helm的使用
  • Compose 实践与探索十 —— 其他预先处理的 Modifier
  • Java面试八股—Redis篇
  • C# WPF 串口通信
  • 【fNIRS可视化学习1】基于NIRS-SPM进行光极可视化并计算通道坐标
  • 【Git学习笔记】Git结构原理及其分支管理模型分析
  • Ubuntu下管理多个GCC版本
  • 【数据分享】2000—2024年我国省市县三级逐月归一化植被指数(NDVI)数据(Shp/Excel格式)
  • 深入解析java Socket通信中的粘包与拆包问题及解决方案(中)
  • python 实现 A* 算法
  • 某大厂自动化工程师面试题
  • C语言每日一练——day_8
  • Qwen2.5的注意力秘籍:解锁高效模型的钥匙,分组查询注意力机制
  • .NET 9 中 OpenAPI 替代 Swagger 文档生成
  • apt-get update命令与apt update命令的区别
  • Assembly语言的安全开发
  • AI日报 - 2025年3月16日