spring security为啥是个垃圾框架?

古时候写代码,权限这块写过一个库,基本就是一个泛型接口,里面有几个方法:

如验证输入的principal和credentials,返回token和authorities和roles,role就是一堆authorities集,也就说就是返回一堆authorities。然后每次请求会拿token找到authorities,然后再判断当前请求的资源(其实就是url)包不包括在authorities内。

这接口实现不复杂,也可很复杂自己实现,因为是接口,里面的方法参数都带了很多上下文,所以基本可以获取到所有有用的信息。当年用这接口几乎就没解决不了的权限问题。

后来用spring,更简单了,就是aop一下controller,然后类似那种接口鉴权,不aop就用filter或者拦截器一样的。

再后来,发现spring security粗略研究下。好呀,什么AuthenticationManager,AuthenticationProvider,UserDetailsService,SecurityContextHolder,SecurityInterceptor眼花缭乱,无从下手。而且,不知道是我没注意还是眼瞎,这玩意儿似乎和web或者webflux强耦合。当时有个需求是session(其实就是token)放在redis里,有个同事为实现这简单东西似乎要重写整个HttpSession类?

还有也是因为我们的权限配置是在另一个服务里,所以获取权限的时候要重写UserDetailsService?

不知道是我同事水平不够还是版本太老,反正看的我瑟瑟发抖。

有必要系统学习这东西吗?其实我看半天整个spring security实现的东西似乎和我自己的那种接口思想没什么区别。现在有新项目了,到底要不要系统学习spring security,是我理解太肤浅?

Spring Security就是个垃圾框架

这观点完全正确,因为他把所有扩展完全用接口概念去做,仅适合中小型项目。

对稍大项目,要求多端登录,设备标识等特殊需求实现起来异常复杂。一旦要变更,其给的接口根本无法满足企业需求。

shrio才是好框架,虽简单,但对经验丰富的程序员仅需2~3天就可实现所有spring security功能,且扩展性更强。

我为了学spring security花了一个月时间才掌握所有知识点,但概念太多,几个月后让我改登录,直接懵了。相信我,任何一个程序员面对spring security更新,加上隔几个月或半年之后,大部分人都懵逼,因为原有的接口不能用了。

而shrio则不同,接口实现几乎无变化,但是要求必须精通jwt和oauth协议。精通这两个协议,最多一周而且就算过几年,改登录需求,依然可以快速上手。

那些说spring security好的,大部分都是搞培训或装13,不要相信。

Sa-token也很香

之前粗略看spring security,没太看懂,sa-token跟着官方文档给项目里加了下,感觉真的简单,还能实现token自动续期的问题,太香!

本文由博客一文多发平台 OpenWrite 发布!

相关推荐
组合缺一1 分钟前
Solon v3.0.5 发布!(Spring 可以退休了吗?)
java·后端·spring·solon
程序猿零零漆3 分钟前
SpringCloud 系列教程:微服务的未来(二)Mybatis-Plus的条件构造器、自定义SQL、Service接口基本用法
java·spring cloud·mybatis-plus
猿来入此小猿5 分钟前
基于SpringBoot在线音乐系统平台功能实现十二
java·spring boot·后端·毕业设计·音乐系统·音乐平台·毕业源码
愤怒的代码18 分钟前
Spring Boot对访问密钥加解密——HMAC-SHA256
java·spring boot·后端
带多刺的玫瑰19 分钟前
Leecode刷题C语言之切蛋糕的最小总开销①
java·数据结构·算法
栗豆包35 分钟前
w118共享汽车管理系统
java·spring boot·后端·spring·tomcat·maven
夜半被帅醒41 分钟前
MySQL 数据库优化详解【Java数据库调优】
java·数据库·mysql
万亿少女的梦1681 小时前
基于Spring Boot的网络购物商城的设计与实现
java·spring boot·后端
醒了就刷牙1 小时前
黑马Java面试教程_P9_MySQL
java·mysql·面试
m0_748233641 小时前
SQL数组常用函数记录(Map篇)
java·数据库·sql