Java安全领域，SpringSecurity与Shiro你

　　前言
　　在开始学习SpringSecurity系列教程之前，一一哥先带大家来了解一下SpringSecurity，看看它到底是什么，有哪些功能，有什么特点，以及它与别的同类框架相比，有什么不同，我们以后学习任何一个新技术，其实都可以遵循3W1H法则，这样学习起来才能更有条理。一。SpringSecurity概念
　　首先请各位跟着一一哥来了解一下SpringSecurity的概念，我们得先知道要学习的是个什么东西，以后我们出去面试的时候，面试官可能会问你，请你介绍一下SpringSecurity，那么答案其实就是这个概念了。
　　SpringSecurity是一个功能强大且高度可定制的，主要负责为Java程序提供声明式的身份验证和访问控制的安全框架。其前身是AcegiSecurity，后来被收纳为Spring的一个子项目，并更名为了SpringSecurity。
　　SpringSecurity的底层主要是基于SpringAOP和Servlet过滤器来实现安全控制，它提供了全面的安全解决方案，同时授权粒度可以在Web请求级和方法调用级来处理身份确认和授权。二。SpringSecurity功能
　　接下来我们必须掌握SpringSecurity的核心功能有哪些，就是它能够做什么。
　　SpringSecurity的核心功能主要包括如下几个：认证：解决你是谁的问题解决的是系统中是否有这个用户（用户设备系统）的问题，也就是我们常说的登录。授权：权限控制鉴别，解决的是系统中某个用户能够访问哪些资源，即你能干什么的问题。SpringSecurity支持基于URL的请求授权、方法访问授权、对象访问授权。防护攻击：防止身份伪造等各种攻击手段。加密功能：对密码进行加密、匹配等。会话功能：对Session进行管理。RememberMe功能：实现记住我功能，并可以实现token令牌持久化。三。SpringSecurity支持的身份认证模式
　　在SpringSecurity中，我们除了掌握几个核心功能之外，对于其身份认证模式简单了解一下即可。
　　在身份验证层面，SpringSecurity广泛支持各种身份认证模式。这些验证模式绝大多数都是由第三方提供，或相关标准组织提供的，目前SpringSecurity支持如下认证技术：HTTPBASICauthenticationheaders：一个基于IEFTRFC的标准。
　　HTTPDigestauthenticationheaders：一个基于IETFRFC的标准。
　　HTTPX。509clientcertificateexchange：一个基于IETFRFC的标准。
　　LDAP：一种常见的跨平台身份验证方式。
　　Formbasedauthentication：用于简单的用户界面需求。
　　OpenIDauthentication：一种去中心化的身份认证方式。
　　Authenticationbasedonpreestablishedrequestheaders：类似于ComputerAssociates
　　SiteMinder，一种用户身份验证及授权的集中式安全基础方案。
　　JasigCentralAuthenticationService：单点登录方案。
　　TransparentauthenticationcontextpropagationforRemoteMethodInvocation（RMI）andHttpInvoker：一个Spring远程调用协议。
　　Automaticremembermeauthentication：允许在指定到期时间前自行重新登录系统。
　　Anonymousauthentication：允许匿名用户使用特定的身份安全访问资源。
　　Runasauthentication：允许在一个会话中变换用户身份的机制。
　　JavaAuthenticationandAuthorizationService：JAAS，Java验证和授权API。
　　JavaEEcontainerauthentication：允许系统继续使用容器管理这种身份验证方式。
　　Kerberos：一种使用对称密钥机制，允许客户端与服务器相互确认身份的认证协议。四。Shiro框架简介
　　如果各位之前有过Java项目的开发经验，应该了解使用过另一个比较有名气的安全框架，就是Shiro。1。Shiro起源
　　在Java安全领域，除了SpringSecurity，还有一个更久远的Shiro框架。Shiro是Apache下的一个开源安全框架，提供了身份验证、授权、密码学和会话管理等关于安全的核心功能。它的前身是JSecurity，2004年，LesHazlewood和JeremyHaile创办了Jsecurity。当时他们找不到适用于应用程序级别的合适Java安全框架，同时又对JAAS非常失望，于是就搞了Shiro这个框架。
　　2004年到2008年期间，JSecurity托管在SourceForge上，贡献者包括PeterLedbrook、AlanDitzel和TimVeil。
　　2008年，JSecurity项目贡献给了Apache软件基金会（ASF），并被接纳成为ApacheIncubator项目，由导师管理，目标是成为一个顶级Apache项目。期间，Jsecurity曾短暂更名为Ki，随后因商标问题被社区更名为Shiro。随后项目持续在ApacheIncubator中孵化，并增加了贡献者KalleKorhonen。
　　2010年7月，Shiro社区发布了1。0版，随后社区创建了其项目管理委员会，并选举LesHazlewood为主席。2010年9月22日，Shrio成为Apache软件基金会的顶级项目（TLP）。2。Shiro功能
　　ApacheShiro也是一个强大而灵活的开源安全框架，它干净利落地处理身份认证，授权，企业会话管理和加密。ApacheShiro的首要目标是易于使用和理解，因为安全有时候是很复杂的，甚至是痛苦的，但其实没必要这样。框架应该尽可能掩盖复杂的地方，暴露一个干净而直观的API，来简化开发人员在应用程序安全上所花费的时间。
　　ApacheShiro是一个拥有许多功能的综合性的安全框架，下图表展示了Shiro的核心功能：
　　Shiro中有四大核心功能身份验证，授权，会话管理和加密。Authentication：简称为登录，这是一个证明用户是谁的行为。Authorization：访问控制的过程，也就是决定谁可以去访问什么。SessionManagement：管理用户特定的会话，即使在非Web或EJB应用程序。Cryptography：通过使用加密算法保持数据安全同时易于使用。
　　除此之外，Shiro也提供了额外的功能，来解决在不同环境下所面临的安全问题，尤其是以下这些：WebSupport：web支持的API能够轻松地保护Web应用程序。Caching：缓存是用来确保操作的快速而又高效的。Concurrency：ApacheShiro利用它的并发特性来支持多线程应用程序。Testing：测试功能来帮助编写单元测试和集成测试。RunAs：一个允许用户以另一个用户身份（如果允许）运行的功能，有时候在管理脚本时很有用。RememberMe：在会话中记住用户的身份，这样用户只需要在强制登录时登录。3。Shiro特点
　　Shiro框架具有直观、易用等特性，同时也能提供了健壮的安全性，虽然它的功能不如SpringSecurity那么强大，但是在常规的企业级应用中，其实也够用了。
　　当然在本系列教程中，我们主要是先学习SpringSecurity，对于Shiro的内容，请各位多关注我，我以后会再推出关于Shiro的系列教程。五。SpringSecurity与Shiro对比
　　在上一小节中，我给各位说到，在Java安全领域中，目前常用的安全框架，就是SpringSecurity与Shiro，那么我们来对比一下两者各自的特点，这也是我们出去面试时，面试官常问的一个点：请说一下SpringSecurity与Shiro的区别。1。SpringSecurity优点SpringSecurity基于Spring开发，所以SpringSecurity与Spring更契合；
　　SpringSecurity功能比Shiro更加强大，尤其是在安全防护方面；
　　SpringSecurity社区资源比Shiro更加丰富；
　　SpringBootSpringCloud环境中，更容易集成SpringSecurity；
　　SpringSecurity具备良好的扩展性，可以满足自定义的要求；
　　SpringSecurity对OAuth2框架支持很好，而Shiro则对OAuth2支持不够。2。SpringSecurity缺点Shiro是一个轻量、简单、易于集成的老牌安全框架，而且使用流程简单清晰；反观SpringSecurity，则属于是重量级、配置繁琐、学习使用门槛高的安全框架。
　　Shiro依赖性低，不需要任何框架和容器，可以独立运行，而SpringSecurity需要依赖Spring容器。3。现在常见的安全技术栈
　　在目前的Java体系中，我们在进行关于安全方面的开发时，到底该选择Shiro还是SpringSecurity哪个框架呢？其实我们可以进行如下搭配：SSMShiroSpringBootSpringCloudSpringSecurity
　　就目前而言，Shiro最大的问题在于和Spring家族的产品进行整合时较为不便。在SpringBoot推出的很长一段时间里，Shiro都没有提供相应的starter，后来虽然有一个shirospringbootwebstarter出来，但配置并没有简化多少。所以在SpringBootSpringCloud技术栈的微服务项目中，Shiro几乎不存在优势。
　　但如果你是进行传统的SSM项目开发，而不是微服务项目，那么无疑使用Shiro是最方便省事的，因为它足够简单，足够轻量级。
　　通过本篇教程，相信只要你认真查看，就可以跟着一一哥了解掌握了SpringSecurity的概念功能，这些虽然是理论知识，我们也应该有所掌握。很多程序员之所以面试会失败，或者拿不到满意的高薪，就是只会使用某个技能，但是对该技能说不出个一二三来，我们必须丰富自己的理论水平，才能让面试官更认可我们，你认为呢？