Spring Security ,Apache Shiro的对比及数据级权限实现

如题。

 

  以前搞过一阵子的Spring security，现在看来，这个东西除了能和Spring更好的整合外，其它的没有什么太明显的优点。

 现在的SpringSecurity显得太笨重了。 一大堆的Filter层层过滤，一个简单的请求，最少得经过它的8个Filter左右，让人很不爽。以及一大堆配置，虽然提供了简化配置，但是哪有完全符合自己需求的东西，最后还是得自己慢慢研究文档和源码。另外，学习曲线也不低。

 最后，它的那个ACL方案纯粹是摆设（数据过滤在查询后、提供另外的几个表来维护权限数据，当数据量很大时，不太现实），我相信很少人会把它的那个方案应用到生产环境中。实际上运用Spring MVC的拦截器就能轻松的实现它绝大部分的功能。

  在InfoQ上看到一篇文章介绍了 Apache-shiro：

http://www.infoq.com/cn/articles/apache-shiro

 

看上去感觉还不错，至少比Spring Security强（连Spring的官方都不用Spring Security，而用的Shiro），但是不知道如何才能实现数据级权限.有人说细粒度权限是和业务整合在一起的，无法实现通用。既然都提炼出了细粒度和权限这两个词，说明还是有共通的地方，目前国内关于Shiro的资料还很少，有了解的指导一下Shiro的学习及细粒度权限实现

 

  之前已经有人发过权限探讨的帖子了，感觉最后也没有讨论出什么结果，这个东西基本上在每个应用中都会出现的。再次发帖

前一段时间刚刚看了spring security，花了好一段时间才整差不多，一家伙教你说的一无是处，好打击。。。。。

以前看过一部分 ACL感觉可以用数据库的分区表来解决数据量过大的问题

他的优点也有很多

看了shiro好久了。等待实际应用者来讨论。。

额 。。 才弄懂Acegi 的一部分。。。。 这个 。。。。 感觉还挺好用的啊

之前关注过shiro 但是后来产品的权限简化之后 就再没关注过

个人认为 权限这个东东不能太过了 其实好多权限都是我们臆想的

感觉spring security的确很复杂，我看了一些源码，然后自己用它的设计思路，自己整了一个简单的security框架，够用就好。

现在的Spring Security 的确过于庞杂，远没有当时Acegi Security 1.0 那会简单，虽然Acegi Security 的结构简单，但是功能却一点不含糊，可扩充性也好。
至于Shiro，还是比较简单的一个权限框架，我在使用Shiro 与 Tapestry 整合的时候，也发现了一些问题，个人觉得Shiro 用起来不是很顺手
Shiro 呢，可以通过Annotation 拦截，有几个定义权限的Annotation，并定义了想对应的Hanlder，Annotation可以是Type 级别的，也可以是Method 级别的。So，如果和Spring MVC 整合，只需要写2个对应的拦截器就ok了。
说到细粒度的权限控制，比如domain 级别的，只是控制好你读取方法的权限就行了，个人觉得不需要用ACL那些玩意，那...蛋疼。。

Spring Security的学习曲线确是是太高了.过于厚重.
(如前面有人说的ACL).
springSecurity我感觉能自定义userdetailedservice,页面标签基本够用了

但是shiro的问题在于demo太少.
在目前中国这个环境不可能用于实际生产中.
我估计大概2年后才会出现比较多的实际应用中的讨论贴.

Spring side4也把权限矿建换成shiro了
等SS4正事发布的时候大家都可以看看