在了解完什么是权限管理之后,我们就可以考虑技术选型了。一个合理的技术选型往往需要多横向、纵向的多维度比较,最终才可以确定出最适用于自身项目的实际技术。好在权限管理的技术框架历经多年发展也就这么多的技术,下面我们看看大概有哪些技术可以帮助我们实现权限管理,又各自有什么优缺点。
技术
优点
缺点
Apache Shiro
配置简单,可以快速上手
不需要任何框架和容器,可以独立运行
适用于任意容器(tomcat、weblogic等)
安全维护较弱
如果是Spring框架则需要和 Spring 进行整合开发
微服务架构下稍显力不从心
Spring Security
对身份验证和授权的全面且可扩展的支持
防止会话固定、点击劫持、跨站点请求伪造等攻击
Servlet API 集成
与 Spring Web MVC 的可选集成
复杂度高,对于小型系统有点大材小用
重量级,配置繁琐,但是在SpringBoot之后就优化了很多
用户自定义ACL
实现成本低,高度契合项目
新人友好度低,不是业界通用的,有理解成本
实际都是对于ACL或RBAC的二次封装
在笔者写权限管理技术时,发现国内外已经有很多相关的权限管理技术,但基本都是基于ACL、RBAC模型的二次封装,所以这里就不再重复罗列,只阐述具有代表性的。
