【IT老齐231】Apache Shiro哑火了，为什么是Spring Security？

账号已注销:
究其原因还是shiro和springboot不搭，springsecurity亲儿子

【回复】Spring Framework官方文档选用的安全框架是Shiro[doge]，Security初学太复杂
【回复】回复 @有脑子我不用就傻着 :而且b战视频讲的都不精
DebuggerX:
shiro发音应该是"xi lou" 因为这个名字是取自日语的城“しろ” 意寓坚固可靠

【回复】回复 @吟啸 : 人家发明的就要尊重。也便于交流。好像你名字，人家读个错别字的音，你高兴？
【回复】我也觉得读音挺重要的[OK]
【回复】啥玩意?读音有那么重要吗？[笑哭]
兜柿骗籽:
被人利用反弹shell搞过，从此再不用shiro

【回复】回复 @Code1见疯侯carfree :这是什么
枝江火警:
Spring security做的是安全，而大部分人眼中就只剩下登录鉴权了。人家拿了围墙给你的应用保护起来，留了个门让开发者做登录鉴权。结果有的人感觉自己搭个门框就一样能做了[笑哭]

711_117:
security也不好用，10几个filter一把进来，想扩展一下文档看到爆炸，还动不动就弃更，可以参考一下security的核心实现，安全方面的代码最好还是自己写最清楚！

焖烧小肥鹰:
最近做中台，本来spring security都整合好了，可是发现用aop拦截然后自己写个用户加密认证、接口权限认证的话，好像效果也没啥不同，所以什么情况下才有必要用这些安全框架而不是自己去实现呢

【回复】深入浅出spring security里写到过，一般开发不是安全领域出生的，而spring security就是弥补这个缺口的，比如登录的边道攻击，一般开发基本不知道
【回复】回复 @炸娃程序猿 :也不是说简单不简单的问题，很多登录实际上要兼容很多后续业务，也可以很复杂。spring security的侧重点其实是提供一种“安全”的基于http的“协议”性质的东西。像oauth open id ldap之类的，spring security体系就很有用。本身不侧重登录协议本身而是更侧重业务，或者协议不仅仅需要支持http的项目，spring security能做的就很有限
【回复】我也有同样的想法，springsecuriy帮我们解决了什么问题，我们用springsecurity好像就写写jwt过滤器啥的
抹杀有机生命体:
看过一部分security的源码，简直复杂的过分，特别是DefaultLoginPageConfigurer，想用json登陆还要搞一堆别的

炸娃程序猿:
springsecurity只要在servlet容器就可以使用吧 不用ioc容器就不能用吗？

【回复】想多了，底层基于Spring IOC滴
【回复】回复 @炸娃程序猿 :哦～那确实是我的问题，我忽略这这个细节，谢啦
powerlessJeff:
shiro的bug多点，我少用security不知道有没有，1.4的shiro还有安全问题，哎，特别难受

鸽鸽乀:
shiro太简陋了，我更喜欢spring security 其次是sa token

oomexcept:
老师，能否讲一期bpmn，尤其是业务流的实战

鸽鸽乀:
acl其实很少用的，不算spring security的优势

离狐千慕:
个人感觉security适合大项目，shiro相比起来简单粗暴[笑哭]，类似jpa和mybatis吧，仁者见仁，智者见智。