Spring Security ,Apache Shiro的对比及数据级权限实现

eya

浏览: 41882 次
性别:
来自: 天津

最近访客更多访客>>

cway

mohaiwang

xingyun_yj

mt25367117

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

java技术

Spring Security Apache MVC

如题。

以前搞过一阵子的Spring security，现在看来，这个东西除了能和Spring更好的整合外，其它的没有什么太明显的优点。

现在的SpringSecurity显得太笨重了。一大堆的Filter层层过滤，一个简单的请求，最少得经过它的8个Filter左右，让人很不爽。以及一大堆配置，虽然提供了简化配置，但是哪有完全符合自己需求的东西，最后还是得自己慢慢研究文档和源码。另外，学习曲线也不低。

最后，它的那个ACL方案纯粹是摆设（数据过滤在查询后、提供另外的几个表来维护权限数据，当数据量很大时，不太现实），我相信很少人会把它的那个方案应用到生产环境中。实际上运用Spring MVC的拦截器就能轻松的实现它绝大部分的功能。

在InfoQ上看到一篇文章介绍了 Apache-shiro：

http://www.infoq.com/cn/articles/apache-shiro

看上去感觉还不错，至少比Spring Security强（连Spring的官方都不用Spring Security，而用的Shiro），但是不知道如何才能实现数据级权限.有人说细粒度权限是和业务整合在一起的，无法实现通用。既然都提炼出了细粒度和权限这两个词，说明还是有共通的地方，目前国内关于Shiro的资料还很少，有了解的指导一下Shiro的学习及细粒度权限实现

之前已经有人发过权限探讨的帖子了，感觉最后也没有讨论出什么结果，这个东西基本上在每个应用中都会出现的。再次发帖

分享到：

struts2中iterator标签的相关使用

2011-05-15 16:22
浏览 27375
评论(25)
论坛回复 / 浏览 (24 / 64677)
分类:编程语言
查看更多

25 楼从零开始单排有人帮 2015-05-14

细粒度的控制，我想了一个方式：
所有资源有一个唯一的uuid标识，通过用户对这个uuid拥有的权限做全套的权限判断

24 楼 jackyrong 2013-08-04

eya 写道

dancewing 写道

在业务层，可以通过SecurityContextHolder取出权限规则，动态生成SQL（有多少个规则，则增加多少个Where条

不知道有没有考虑过规则很多的情况下，SQL超长的问题？

不知道楼主如何解决这个问题的?

23 楼 jackyrong 2013-08-04

请教下,数据权限的话,你是用AOP的方法,注入权限规则的SQL么?

22 楼 alan2012 2012-04-12

对于eya采用规则，我也觉得这是比较灵活的，但现在还些地方不知道如何处理。我认为权限是有很多种类型的，比如功能权限、数据权限、流程节点权限，我想知道配置规则如果与实例应用结合一起，对于功能权限一般只是允许或是禁止操作，对于数据权限则是要重新封装SQL了。

21 楼 a_alter 2011-05-25

至于那些数据级别的业务逻辑相关的，个人觉得还是不纳入权限概念，规则引擎如何

20 楼 a_alter 2011-05-25

springsecurity 看的有点累啊因为没有去使用它现在还停留在 URL 权限拦截和 RBAC 的权限模型的冲突上，Shiro 没听过可以了解下

19 楼 mmBlue 2011-05-24

eya 写道

mmBlue 写道

目前我项目就在使用Shiro，已经满足了我的需求，主要是参考了自带的DEMO和springside4。

Spring Security在以前项目中用过，一致反映太复杂了，Shiro就足够了，关键是简单。

有没有 Shiro的详细资料和说明

http://apache.etoak.com//shiro/1.1.0/shiro-root-1.1.0-source-release.zip
解压后samples里面。

springside4:
http://springside.googlecode.com/svn/springside4/trunk/examples/mini-web

文档不是很多，除了官方外，网上找到过的：
http://www.ibm.com/developerworks/cn/opensource/os-cn-shiro/

18 楼 eya 2011-05-20

mmBlue 写道

有没有 Shiro的详细资料和说明

17 楼 mmBlue 2011-05-20

16 楼 eya 2011-05-17

eya 写道

dancewing 写道

在业务层，可以通过SecurityContextHolder取出权限规则，动态生成SQL（有多少个规则，则增加多少个Where条

不知道有没有考虑过规则很多的情况下，SQL超长的问题？

1，如果是换做你硬编码的话，SQL的长度也少不了多少
2，这样做的好处在于灵活，当你权限规则变了的话，修改一下配置就可以了，如：部门经理审批金额为30万以下的
你只需要改一下规则，如果硬编码及团队协作的话。规则改变后，再去搞代码的话，很费劲
3，与应用解耦。权限本来就是一个独立的东西，和业务混合在一起。对开发和维护都不便

15 楼 cwx714 2011-05-17

Spring Security已经发展了好几年了，算是Java领域中比较成熟的一个安全框架了。在项目中还是继续用Spring Security，Apache Shiro还需要观望。

14 楼 hesy_007 2011-05-17

dancewing 写道

在业务层，可以通过SecurityContextHolder取出权限规则，动态生成SQL（有多少个规则，则增加多少个Where条

不知道有没有考虑过规则很多的情况下，SQL超长的问题？

13 楼 pior 2011-05-17

各系统的业务数据都不一样``通用的框架不太好做的这么细吧```

12 楼 eya 2011-05-16

一般的增删查改，大多数应用都是放在一个通用的基类里面，如果采用这种方法的话，只需定义好权限规则即可，不必满处都是和业务系统耦合相关的代码：如if(xxx>yy)
else ...
当业务规则调整时，只需简单更改Ruleinfo即可
而不必到处去找到底哪些地方有判断

11 楼 eya 2011-05-16

上面说了查询过滤。顺便说一下增删改的过滤方法
增删改时：
可以根据ruleInfo 检验此次操作的实体对象，是否匹配这个规则，运用反射及工具类很容易就实现了。

10 楼 eya 2011-05-16

dancewing 写道

说到细粒度的权限控制，比如domain 级别的，只是控制好你读取方法的权限就行了，个人觉得不需要用ACL那些玩意，那...蛋疼。。

读取方法的权限，还是方法级别的。我想做到的是：
1、有一个Customer信息表，业务员甲能看到自己的客户，业务员乙也能看到自己的客户，部门经理能看到本部门的客户，总经理能看到全部客户。
2、有一个交易金额表,拥有甲权限的能看到金额小于1万的数据，拥有乙权限的能看到金额小于100万的数据，
。。。。

以前有一个想法：
(一),将权限表划分为
1、用户(user) id username password
2、角色(role) id rolename
3、用户角色(userrole) userid roleid
4，权限(auth): id authname
5, 规则(ruleinfo)： id ruleInfo ruleType
6, 权限规则(authrule): authid,ruleinfoid
7,资源(resource) id resourcetype resource
8 ,权限资源(authresource) authid resourceid

和普通的权限方案最大的不同就是多了一个权限规则
系统初始化时的缓存内容:
    （1）、资源及权限的对应关系
     （2）、角色-权限规则的对应关系
     （3）、权限规则

处理流程

1，用户登录时，获取用户角色，根据角色-权限规则对应关系，把当前用户所拥有的权限规则放入每个用户的上下文中。
2、在web下，设置一个Filter,这个filter中，可以获取到用户的访问地址（基于URL拦截），如果存在于资源权限对应中，则进行拦截
3、判断此资源所需要的权限，如果当前用户上下文的权限匹配所需要的全部权限，则放行，
4、根据资源权限关系，获取到权限，根据权限，获取到权限规则，将此次请求的权限规则放入请求线程中，如SecurityContextHolder中
5，程序中可以根据权限规则列表动态组装SQL 及拦截

举例： /user/list.do地址显示所有的用户需要的权限为USER_VIEW
当前用户拥有USER_VIEW权限，及权限规则列表
   （一） ruleInfo="department_EQS" ruleType="department"(部门)
   （二）ruleInfo="age_GTI_40" ruleType="free"（自定义）
在业务层，可以通过SecurityContextHolder取出权限规则，动态生成SQL（有多少个规则，则增加多少个Where条件）。如果用Hibernate，非常比较方便

至少，比Spring Security的事后拦截比起来：第一，无需额外的几张表；二，没有太多的Filter，就一个，
三、速度和效率肯定比SS强，资源在初始化的时候就加载四：调用方法时过滤处理的数据更少，已经将不符合条件的过滤掉了五：便于分页，如果采用SS的话，每页50条，SS在调用方法返回时过滤掉若干条，返回来的页面，每页的结果总是不同

关键是权限规则的定义和设置
JAVAEYE里面的牛人很多，给点指导意见！

9 楼 liukai 2011-05-16

Spring side4也把权限矿建换成shiro了
等SS4正事发布的时候大家都可以看看

8 楼 liukai 2011-05-16

Spring Security的学习曲线确是是太高了.过于厚重.
(如前面有人说的ACL).
springSecurity我感觉能自定义userdetailedservice,页面标签基本够用了

但是shiro的问题在于demo太少.
在目前中国这个环境不可能用于实际生产中.
我估计大概2年后才会出现比较多的实际应用中的讨论贴.

7 楼 dancewing 2011-05-16

现在的Spring Security 的确过于庞杂，远没有当时Acegi Security 1.0 那会简单，虽然Acegi Security 的结构简单，但是功能却一点不含糊，可扩充性也好。
至于Shiro，还是比较简单的一个权限框架，我在使用Shiro 与 Tapestry 整合的时候，也发现了一些问题，个人觉得Shiro 用起来不是很顺手
Shiro 呢，可以通过Annotation 拦截，有几个定义权限的Annotation，并定义了想对应的Hanlder，Annotation可以是Type 级别的，也可以是Method 级别的。So，如果和Spring MVC 整合，只需要写2个对应的拦截器就ok了。
说到细粒度的权限控制，比如domain 级别的，只是控制好你读取方法的权限就行了，个人觉得不需要用ACL那些玩意，那...蛋疼。。

6 楼 feiyan35488 2011-05-16

<div class="quote_title">eya 写道</div>
<div class="quote_div">
 
如题。
 
 以前搞过一阵子的Spring security，现在看来，这个东西除了能和Spring更好的整合外，其它的没有什么太明显的优点。
 现在的SpringSecurity显得太笨重了。 一大堆的Filter层层过滤，一个简单的请求，最少得经过它的8个Filter左右，让人很不爽。以及一大堆配置，虽然提供了简化配置，但是哪有完全符合自己需求的东西，最后还是得自己慢慢研究文档和源码。另外，学习曲线也不低。
 最后，它的那个ACL方案纯粹是摆设（数据过滤在查询后、提供另外的几个表来维护权限数据，当数据量很大时，不太现实），我相信很少人会把它的那个方案应用到生产环境中。实际上运用Spring MVC的拦截器就能轻松的实现它绝大部分的功能。
 在InfoQ上看到一篇文章介绍了
Apache-shiro：
<a href="http://www.infoq.com/cn/articles/apache-shiro">http://www.infoq.com/cn/articles/apache-shiro</a>
 
看上去感觉还不错，至少比Spring Security强（连Spring的官方都不用Spring Security，而用的Shiro），但是不知道如何才能实现数据级权限.有人说细粒度权限是和业务整合在一起的，无法实现通用。既然都提炼出了细粒度和权限这两个词，说明还是有共通的地方，目前国内关于Shiro的资料还很少，有了解的指导一下Shiro的学习及细粒度权限实现
 
 之前已经有人发过权限探讨的帖子了，感觉最后也没有讨论出什么结果，这个东西基本上在每个应用中都会出现的。再次发帖
</div>
感觉spring security的确很复杂，我看了一些源码，然后自己用它的设计思路，自己整了一个简单的security框架，够用就好。

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论