Apache Shiro 与 Java EE 原生 API

Posted 2023-02-27

【中文标题】Apache Shiro 与 Java EE 原生 API

【英文标题】：Apache Shiro vs Java EE native APIs

【发布时间】：2012-05-07 03:02:35

【问题描述】：

转到 Apache Shiro 并保留 Java EE 的本机 API 用于安全性和会话管理有什么优势？

我发现所有安全角色和会话都可以在 Apache Shiro 中完成，但同样的事情也可以使用 Java EE 安全完成，而无需任何外部依赖 jar。

所以建议我一些去 Apache Shiro 的利弊。

【问题讨论】：

请任何人帮助我无法判断.......

【参考方案1】：

我当然有偏见（我是 Apache Shiro 项目的提交者），所以请随意选择，但以下是我的意见：

Java EE Security 不支持开箱即用的独立于容器的会话集群选项（Shiro 支持）。

Shiro 从一开始就被设计为在 POJO/依赖注入环境中工作。它使用接口驱动设计，并提供了比传统 Java EE 安全环境更多的自定义钩子（例如，您如何显示当前有多少用户使用 Java EE 安全登录到您的站点？Shiro 可以帮助您显示这一点）。

Shiro 可在任何应用程序环境中完全移植。如果您使用 Java EE 供应商特定的安全定制，这些定制将不可移植（例如，*** question 表明切换到 JBoss 可能会解决用户的安全问题 - IMO 的一个令人不安的答案）。

1234563如果你切换，重新学习会令人沮丧。此外，Java EE 配置通常需要 XML。我更喜欢可以在任何地方使用的单一、非冗长的文本配置格式（shiro.ini 很好，但人们也可以使用 groovy、yaml 等配置 shiro）。

Shiro 旨在在任何应用程序环境中工作。 Java EE 安全性设计得很好 - 仅适用于 Java EE。至少当您学习 Shiro 时，您可以在任何基于 JVM 的应用程序（Spring、Guice、Java EE、命令行等）中利用这些知识，而不仅仅是 Java EE 应用程序。

HTH！

莱斯

【讨论】：

感谢您对 apache shiro 的解释。我能得到更多关于 POJO 注入环境中 shiro 用法的解释

>this *** question shows that switching to JBoss might solve the user's security problem - an unsettling answer IMO - 我给出了这个答案，我同意这令人不安。我创建了问题java.net/jira/browse/JAVAEE_SPEC-20 要求对安全配置的这一特定方面进行标准化。