spring apache security spring-security shiro

spring - Seguridad de primavera contra Apache Shiro



security spring-security (5)

He evaluado tanto la seguridad de Shiro como la de Spring. La principal ventaja que la gente dice sobre Shiro es la simplicidad, pero creo que Spring Security (3.0) no es una locura. Me tomó casi la misma cantidad de líneas de configuración para configurar. También Spring Security está mucho mejor documentada que Shiro. Pero el principal problema con Shiro es que no es compatible con OAuth o Digest Authetication (están planeando incluirlo en el futuro https://issues.apache.org/jira/browse/SHIRO-20 ). Mi conclusión: Hoy iría por la seguridad de primavera.

Esta pregunta ya tiene una respuesta aquí:

Lo que he investigado hasta ahora la mayoría de la gente dice que Apache Shiro es fácil de usar y fácil de integrar con CAS (para SSO, etc.). Solo para preguntar si alguien tiene experiencia en el uso de ambos, cuál usar y por qué uno es mejor que otro.

Muchos de los desarrolladores de Shiro utilizan Spring para sus aplicaciones, por lo que Shiro funciona muy bien en entornos de primavera. Los comentarios generales que hemos recibido hasta el momento es que Shiro también es mucho más fácil de entender (para la mayoría de las personas) que Spring Security.

Sin embargo, si desea una compatibilidad total con el clúster de sesiones en cualquier contenedor web, solo Shiro lo admitirá fácilmente. Shiro''s crypto también es muy simple / fácil de usar.

Elija lo que mejor se adapte a su modelo mental: ambos funcionarán muy bien en los entornos de primavera.

Recientemente tuve que evaluar tanto la seguridad de Shiro como la de primavera. Fuimos con la seguridad de primavera (de hecho, extendimos la seguridad de primavera para usar las cadenas de permisos shiro de una manera mejor, con variables de instancia en las anotaciones).

Seguridad de primavera

  • bajo desarrollo activo.
  • tiene mucho más apoyo de la comunidad.
  • Spring security tiene extensiones que brindan soporte tanto para Oauth como para kerberos y kerberos .

Shiro

  • No es compatible con saml o Oauth.
  • No menciona el apoyo antes y después de las políticas de seguridad.
  • El desarrollo activo parece limitado, el sitio web aún contiene información errónea .

Shiro es mejor usar Su código es muy simple y le proporciona flexibilidad para extenderlo y proporcionarle un comportamiento personalizado donde sea necesario. También proporciona la implementación de caché interna de Ehcache a través del cual puede replicar la sesión en los clústeres de servidores. Si va a diseñar el sistema RBAC (control de acceso basado en roles) para su aplicación, le brindará flexibilidad para manejar el permiso de nivel de activos y su mecanismo de control de acceso es muy flexible en comparación con la seguridad de primavera.

Spring Security y Shiro ambos conjuntos increíble con marco de primavera. los he probado a los dos. para mí, la seguridad de la primavera fue fácil de integrar y es totalmente comprensible según los puntos de vista del desarrollador. y Shiro también es fácil de integrar, pero para mí Spring es más fácil de integrar.