开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

JAAS、Spring Security或Apache Shiro

JAAS、Spring Security和Apache Shiro基础概念及比较

JAAS（Java Authentication and Authorization Service）

基础概念： JAAS是Java平台提供的一种标准的认证和授权服务框架。它允许开发者通过插件化的方式实现用户身份验证和权限管理。

优势：

标准化的认证和授权机制。
可插拔的认证提供者，易于扩展。
与Java安全体系紧密集成。

类型：

基于用户名/密码的认证。
基于证书的认证。
基于Kerberos的认证等。

应用场景：

企业级应用的身份验证和授权。
Web应用的登录和权限管理。

Spring Security

基础概念： Spring Security是Spring框架提供的一个全面的安全框架，用于处理认证、授权、攻击防护等安全问题。

优势：

与Spring框架深度集成，易于使用。
功能丰富，包括认证、授权、CSRF防护、会话管理等。
高度可配置和可扩展。

类型：

表单登录认证。
OAuth2认证。
OpenID Connect认证等。

应用场景：

大型Web应用的安全管理。
微服务架构中的安全控制。

Apache Shiro

基础概念： Apache Shiro是一个简单易用的Java安全框架，提供认证、授权、加密和会话管理等功能。

优势：

简单易用，易于上手。
轻量级，不依赖于Spring等大型框架。
支持多种认证和授权方式。

类型：

基于用户名/密码的认证。
基于角色的授权。
基于权限的授权等。

应用场景：

中小型项目的安全管理。
需要快速集成安全功能的项目。

问题及解决方法

问题1：为什么选择Spring Security而不是JAAS？

原因：

Spring Security提供了更全面的安全功能，如CSRF防护、会话管理等。
Spring Security与Spring框架深度集成，使用更方便。

解决方法：

如果项目中已经使用了Spring框架，建议选择Spring Security。
如果需要更高级的安全功能，Spring Security是更好的选择。

问题2：Apache Shiro与Spring Security相比有哪些不足？

原因：

Apache Shiro的功能相对较少，不如Spring Security全面。
Apache Shiro不依赖于Spring框架，但在集成Spring时可能需要额外的工作。

解决方法：

如果项目对安全功能要求不高，且希望快速上手，可以选择Apache Shiro。
如果需要更高级的安全功能和更好的Spring集成，建议选择Spring Security。

参考链接

相关搜索:Apache Shiro与Spring Security Apache Zeppelin (Shiro Security)无法保存便笺权限 jdbc spring security,apache commons dbcp Apache Shiro为Spring MVC项目添加URL异常如何在Apache Wicket中使用Spring Security OAuth2？Grails Spring Security Shiro，如何在不注销和重新登录的情况下刷新权限？Spring 3.0 JAX-WS和/或Apache CXF 如何在Spring Security的SAML扩展中注册AuthenticationSuccessHandler或SAMLRelayStateSuccessHandler？如何在没有Spring Security或Spring Boot的情况下禁用springfox Swagger UI的csrf保护？Spring Boot Apache Geode错误拒绝连接:不支持序号为120的对等或客户端版本

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Shiro集成应用原

Shiro项目始于2003年初，当时它叫JSecurity项目，当时对于Java应用开发人员没有太多的安全替代方案，始终被一个叫JAAS（Java认证/授权服务）束缚着，但是JAAS缺点太多了，如它的授权机制太拙劣，用起来让人沮丧，又一方面JAAS跟虚拟机层面的安全问题关系非常紧密，如判断JVM中判断是否允许装入一个类等，还有加密问题，JAVA中的密码架构又是让人难以理解。于是Jsecurity就诞生了,后来更名为Shiro。

04

Shiro 框架简单介绍

Shiro 是 JAVA 权限框架，较之 JAAS 和 Spring Security，Shiro 在保持强大功能的同时，还在简单性和灵活性方面拥有巨大优势。 Shiro 是一个强大而灵活的开源安全框架，能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点：

01

在微服务项目中，Spring Security 比 Shiro 强在哪？

虽然目前 Spring Security 一片火热，但是 Shiro 的市场依然存在，今天我就来稍微的说一说这两个框架的，方便大家在实际项目中选择适合自己的安全管理框架。

05

第一章 Kafka 配置部署及SASL_PLAINTEXT安全认证

2.4、Zookeeper 修改启动脚本 bin/zookeeper-server-start.sh

02

基于 Spring Security OAuth2和 JWT 构建保护微服务系统

常见的应用场景如下图，用户通过浏览器进行登录，一旦确定用户名和密码正确，那么在服务器端使用秘钥创建 JWT，并且返回给浏览器；接下来我们的请求需要在头部增加 jwt 信息，服务器端进行解密获取用户信息，然后进行其他业务逻辑处理，再返回客户端

01

基于SASL和ACL的Kafka安全性解析

本文主要介绍基于SCRAM进行身份验证，使用Kafka ACL进行授权，SSL进行加密以及使用camel-Kafka连接Kafka群集以使用camel路由生产和消费消息的过程。

02

Kafka 服务器 PLAINTEXT 和 SASL_PLAINTEXT 配置及 consumer/producer 脚本连接配置

更多安全配置，参见 https://kafka.apache.org/documentation/#security

01

实时数仓链路分享：kafka =>SparkStreaming=>kudu集成kerberos

本文档主要介绍在cdh集成kerberos情况下，sparkstreaming怎么消费kafka数据，并存储在kudu里面

03

配置客户端以安全连接到Kafka集群- Kerberos

这是有关Apache Kafka安全性的简短博客文章系列的第一部分。在本文中，我们将说明如何配置客户端以使用不同的身份验证机制对集群进行身份验证。

02

Apache Shiro：强大的Java安全框架

Apache Shiro 是一个强大且易用的 Java 安全框架，旨在提供身份验证、授权、加密、会话管理等一系列的安全功能。它可以帮助开发者快速、轻松地保护从最小的移动应用程序到最大的网络和企业应用程序的各种应用。Shiro 的设计理念是简单直观，易于理解和使用，旨在为用户提供一站式的安全解决方案。

03

Shiro 入门概述

Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架。Shiro 可以完成：认证、授权、加密、会话管理、与 Web 集成、缓存等。借助 Shiro 您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。

03

Hadoop Authentication

我被被派去做别的事情了，所以与Hadoop相关的工作就只能搁下。写篇总结，把最近遇到的和kerberos相关的东西列一下。 JAAS是Java 认证和授权服务（Java Authentication and Authorization Service）的缩写，是PAM框架的Java实现。 javax.sercurity.auth.Subject是一个不可继承的实体类，它表示单个实体的一组相关信息，与请求的来源相关。 javax.security.auth.Principal是一个接口，表示带有不同类型凭证的标识，基本上来说，Principal可以是任意对象。 JAAS的授权机制主要就是围绕着Subject和Principal。关于JAAS比较详细的参考是这里：http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html 几个比较重要的java属性： java.security.krb5.realm java.security.krb5.kdc java.security.krb5.conf hadoop的身份认证和授权都是建立在JAAS之上。 hadoop.security.authentication属性有2种值： simple: Security is disabled。 kerberos: Security is enabled。 org.apache.hadoop.security.UserGroupInformation有一个静态方法：getCurrentUser()。它会返回一个UserGroupInformation类的实例（以下简称ＵＧＩ）。如果subject为空，或者这个subject中与org.apache.hadoop.security.User对应的Principal为空，那么说明尚未登录过，调用getLoginUser()创建UserGroupInformation的实例。 getLoginUser()的流程： 1.创建LoginContext: name:如果hadoop.security.authentication等于”kerberos”,那么是“hadoop-user-kerberos”或者“hadoop-keytab-kerberos”，否则是“hadoop-simple”。它的主要作用是作为appName传递给UserGroupInformation.HadoopConfiguration.getAppConfigurationEntry(String appName)方法。 subject: callbackHandler: 空 Configuration: UserGroupInformation.HadoopConfiguration的实例。 2.login.login(); 这个会调用HadoopLoginModule的login()和commit()方法。 HadoopLoginModule的login()方法是一个空函数，只打印了一行调试日志 LOG.debug("hadoop login"); commit()方法负责把Principal添加到Subject中。此时一个首要问题是username是什么？在使用了kerberos的情况下，从javax.security.auth.kerberos.KerberosPrincipal的实例获取username。在未使用kerberos的情况下，优先读取HADOOP_USER_NAME这个系统环境变量，如果不为空，那么拿它作username。否则，读取HADOOP_USER_NAME这个java环境变量。否则，从com.sun.security.auth.NTUserPrincipal或者com.sun.security.auth.UnixPrincipal的实例获取username。如果以上尝试都失败，那么抛出异常LoginException("Can’t find user name")。最终拿username构造org.apache.hadoop.security.User的实例添加到Subject中。测试登录： HADOOP_JAAS_DEBUG=true HADOOP_ROOT_LOGGER=DEBUG,console bin/hadoop org.apache.hadoop.security.UserGroupInformation 其中，UGI应该是这样的形式： UGI: host/xx.xx.xx.com@xx.xx.com (auth:KERBEROS)

01

【Shiro】入门概述

Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架。Shiro 可以完

04

SSM 整合 Shiro 简单应用

我在web.xml中加载配置是这样写的:<param-value>classpath*:spring/applicationContext-*.xml</param-value> 我的spring配置文件是分开的叫: applicationContext-shiro.xml

02

Spring Boot 集成Shiro和CAS

Spring Boot 集成Shiro和CAS 请大家在看本文之前，先了解如下知识点： 1、Shiro 是什么？怎么用？ 2、Cas 是什么？怎么用？ 3、最好有Spring基础可以先看看这两篇文章，按照这2篇文章的内容做一遍： Spring Boot Shiro 权限管理 CAS单点登录首先看一下下面这张图：第一个流程是单纯使用Shiro的流程。第二个流程是单纯使用Cas的流程。第三个图是Shiro集成Cas后的流程。【流程图高清图连接：http://img.blog.csdn

05

配置客户端以安全连接到Kafka集群–LDAP

在上一篇文章《配置客户端以安全连接到Kafka集群- Kerberos》中，我们讨论了Kerberos身份验证，并说明了如何配置Kafka客户端以使用Kerberos凭据进行身份验证。在本文中，我们将研究如何配置Kafka客户端以使用LDAP（而不是Kerberos）进行身份验证。

02

OpenStack 上搭建 Kafka 集群

最近在 OpenStack 环境下需要部署消息队列集群，包括 RabbitMQ 和 Kafka，这篇记述一下 Kafka 集群的部署过程。

04

How to run kafka in OAUTHBEARER test mode.

This is just a test setting of OAUTHBEARER for kafka.

01

Kafka学习笔记之kafka常见报错及解决方法（topic类、生产消费类、启动类）

解决方法：Failed to acquire lock on file .lock in /var/log/kafka-logs.--问题原因是有其他的进程在使用kafka，ps -ef|grep kafka，杀掉使用该目录的进程即可；

02

Spark2Streaming读Kerberos环境的Kafka并写数据到Hive

在前面的文章Fayson介绍了一些关于Spark2Streaming的示例如《Spark2Streaming读Kerberos环境的Kafka并写数据到HBase》和《Spark2Streaming读Kerberos环境的Kafka并写数据到Kudu》，本篇文章Fayson主要介绍如何使用Spark2Streaming访问Kerberos环境的Kafka并将接收到的Kafka数据写入Hive.

04

Spring Security 和 Apache Shiro 登录安全架构选型

Spring Security和Apache Shiro都是广泛使用的Java安全框架，它们都提供了许多功能来保护应用程序的安全性，包括身份验证、授权、加密、会话管理等。

04

十分钟带你轻松入门Shiro

Shiro通过在web.xml配置文件中配置的ShiroFilter来拦截所有请求，并通过配置filterChainDefinitions来指定哪些页面受保护以及它们的权限。

03

安全框架shiro和springSecurity的比较

首先Shiro较之 Spring Security，Shiro在保持强大功能的同时，还在简单性和灵活性方面拥有巨大优势。

03

如何在Kerberos环境使用Flume采集Kafka数据并写入HDFS

注意：Fayson的github调整为：https://github.com/fayson/cdhproject，本文的代码在github中也能找到。

08

Kafka的安全认证机制-SASL/SCRAM验证

几种方式具体的实现方法可以看看中文文档，里面有详细的介绍，本次主要介绍 SASL/SCRAM 认证。

02

配置客户端以安全连接到Kafka集群–PAM身份验证

在本系列的前几篇文章《配置客户端以安全连接到Kafka集群- Kerberos》和《配置客户端以安全连接到Kafka集群- LDAP》中，我们讨论了Kafka的Kerberos和LDAP身份验证。在本文中，我们将研究如何配置Kafka集群以使用PAM后端而不是LDAP后端。

03

Apache Shiro In Easy Steps With Spring Boot(一)

权限控制就是对用户访问系统的控制，按照用户的角色等控制用户可以访问的资源或者可以执行的操作，因此权限控制分为多种如功能权限控制，数据权限控制及管理权限控制

01

Spark2Streaming读Kerberos环境的Kafka并写数据到HBase

温馨提示：要看高清无码套图，请使用手机打开并单击图片放大查看。 Fayson的github： https://github.com/fayson/cdhproject 提示：代码块部分可以左右滑动查看噢 1.文档编写目的 ---- 在前面的文章Fayson介绍了在Kerberos环境下《Spark2Streaming读Kerberos环境的Kafka并写数据到Kudu》，本篇文章Fayson主要介绍如何使用Spark2Streaming访问Kerberos环境的Kafka并将接收到的Kafka数据写入HBa

02

从零开始做网站6-springboot集成shiro+vue实现登录和权限控制

到上一篇已经把前后端的项目底子搭好了，今天开始做功能，首先就是后台管理系统登录功能。

03

安全框架Shiro和SpringSecurity的比较

首先Shiro较之 Spring Security，Shiro在保持强大功能的同时，还在简单性和灵活性方面拥有巨大优势。

04

如何在Kerberos环境下使用Spark2通过JDBC访问Impala

温馨提示：要看高清无码套图，请使用手机打开并单击图片放大查看。 Fayson的github： https://github.com/fayson/cdhproject 提示：代码块部分可以左右滑动查看噢 1.文档编写目的 ---- 在前面Fayson介绍了在Kerberos和非Kerberos环境下使用JAVA通过JDBC访问Hive和Impala《如何使用java代码通过JDBC连接Hive》和《如何使用java代码通过JDBC连接Impala》，本篇文章Fayson主要介绍如何在Kerberos环境下使

02

30个Kafka常见错误小集合

原因分析：producer向不存在的topic发送消息，用户可以检查topic是否存在或者设置auto.create.topics.enable参数

04

权限管理与Shiro入门（七）

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

03

在 SpringBoot 项目中，Spring Security 和 Shiro 该如何选择？

要知道Shiro和Spring Security该如何选择，首先要看看两者的区别和对比

02

Spring Security 和 Shiro 该如何选择？

要知道Shiro和Spring Security该如何选择，首先要看看两者的区别和对比

03

Spring Boot2 系列教程(三十二)Spring Boot 整合 Shiro

在 Spring Boot 中做权限管理，一般来说，主流的方案是 Spring Security ，但是，仅仅从技术角度来说，也可以使用 Shiro。

02

Kubernetes 部署kafka ACL(单机版)

在Kafka0.9版本之前，Kafka集群时没有安全机制的。Kafka Client应用可以通过连接Zookeeper地址，例如zk1:2181:zk2:2181,zk3:2181等。来获取存储在Zookeeper中的Kafka元数据信息。拿到Kafka Broker地址后，连接到Kafka集群，就可以操作集群上的所有主题了。由于没有权限控制，集群核心的业务主题时存在风险的。

02

【SpringSecurity】Spring Security 和Shiro对比

Spring Security 的前身是 Acegi Security，在被收纳为Spring子项目后正式更名为Spring Security。

03

Kafka SCRAM和PLAIN实战

目前Kafka ACL支持多种权限认证，今天笔者给大家介绍一下SCRAM和PLAIN的权限认证。验证环境如下：

02

Spring Security 和 Shiro 该如何选择？

要知道Shiro和Spring Security该如何选择，首先要看看两者的区别和对比

03

Spring Security 和 Shiro 该如何选择？

来源 | https://blog.csdn.net/weixin_38405253/article/details/115301113 要知道Shiro和Spring Security该如何选择，首先要看看两者的区别和对比 Shiro Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。执行流程特点易于理解的 Java S

02

在 SpringBoot 项目中，Spring Security 和 Shiro 该如何选择？

要知道Shiro和Spring Security该如何选择，首先要看看两者的区别和对比

03

学好Spring Security 和Apache Shiro你需要具备这些条件

web应用达到生产需要就必须有安全控制。java web领域经常提及的两大开源框架主要有两种选择 Spring Security和Apache Shiro 。所以学习这两种框架也是java开发者提高水平的必经之路。从今天开始连续一段时间内，研究一下Spring Security。如果想学习的同学可以关注一下公众号：Felordcn 或者通过https://felord.cn来及时获取相关的干货。

03

Spark2Streaming读Kerberos环境的Kafka并写数据到Kudu

温馨提示：要看高清无码套图，请使用手机打开并单击图片放大查看。 Fayson的github： https://github.com/fayson/cdhproject 提示：代码块部分可以左右滑动查看噢 1.文档编写目的 ---- 在前面的文章Fayson介绍了一些关于SparkStreaming的示例《如何使用Spark Streaming读取HBase的数据并写入到HDFS》、《SparkStreaming读Kafka数据写HBase》和《SparkStreaming读Kafka数据写Kudu》以上文章

03

springboot 整合 springSecurity 和shiro

SpringSecurity 安全简介 1、在 Web 开发中，安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求，但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题，就可能陷入一个两难的境地：一方面，应用存在严重的安全漏洞，无法满足用户的要求，并可能造成用户的隐私数据被攻击者窃取；另一方面，应用的基本架构已经确定，要修复安全漏洞，可能需要对系统的架构做出比较重大的调整，因而需要更多的开发时间，影响应用的发布进程。因此，从应用开发的第一天就应该把安全相关的因素考虑进来，并在整个应用的开发过程中。

03

Spring Boot 整合 Shiro ，两种方式全总结！

在 Spring Boot 中做权限管理，一般来说，主流的方案是 Spring Security ，但是，仅仅从技术角度来说，也可以使用 Shiro。

02

0915-7.1.7-Kafka Connectors for SAP HANA测试

Kafka原生没有提供SAP HANA的Connector，GitHub开源项目Kafka Connectors for SAP提供了kafka与SAP之间的Connector，可实现定时全量或增量的拉取SAP HANA数据发送到Kafka。详细信息，参考GitHub：https://github.com/SAP/kafka-connect-sap/tree/master

01

快速学习Shiro-Shiro安全框架

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

00

Spring Boot 整合 Shiro ，两种方式全总结！

虽然 Shiro 功能简单，但是也能满足大部分的业务场景。所以在传统的 SSM 项目中，一般来说，可以整合 Shiro。

03

Shiro框架学习

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭