安全框架

安全框架：
概念：安全框架是对访问权限的控制，应用的安全性包括用户认证(Authentication)和用户授权(Authorization)
用户认证：验证某个用户是否是系统中的合法主体，一般需要提供用户名和密码，通过验证账户密码进行认证的过程。
用户授权：指的是验证某个用户是否有权限执行某个操作。
1.shiro
Apache shiro是一个强大的且简单易用的java安全框架，能够清晰的处理身份验证、授权、管理会话以及加密。
利用其易于理解的API，首选推荐框架。
Shiro 主要分为两个部分就是认证和授权，在个人感觉来看就是查询数据库做相应的判断而已，Shiro只是一个框架而已，
其中的内容需要自己的去构建，前后是自己的，中间是Shiro帮我们去搭建和配置好的。
功能：三大核心组件，Subject, SecurityManager 和 Realms。
一：Subject:即当前操作用户，广义：当前跟软件交互的东西。
二：SecurityManager：shrio的核心，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务SecurityManager：shrio的核心，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。
典型的Facede模式:外观（Facade）模式又叫作门面模式，是一种通过为多个复杂的子系统提供一个一致的接口，而使这些子系统更加容易被访问的模式。
三：realm,shiro和安全数据间的桥梁或者是连接器，当完成认证，shrio可以从应用配置中Realm中读取用户的信息。
2.spring security
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC（控制反转），DI（ 依赖注入）和AOP（面向切面编程）功能，
Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求，并且在应用程序处理该请求之前进行某些安全处理。
Spring Security提供有若干个过滤器，它们能够拦截Servlet请求，并将这些请求转给认证和访问决策管理器处理，从而增强安全性。根据自己的需要，可以使用适当的过滤器来保护自己的应用程序。

Servlet：处理请求和响应的容器，其生命周期是：init、servce(处理do Post/Get请求)、destory销毁

总结：
Shiro特点

1、易于理解的 Java Security API；

2、简单的身份认证（登录），支持多种数据源（LDAP，JDBC，Kerberos，ActiveDirectory 等）；

3、对角色的简单的签权（访问控制），支持细粒度的签权；

4、支持一级缓存，以提升应用程序的性能；

5、内置的基于 POJO 企业会话管理，适用于 Web 以及非 Web 的环境；

6、异构客户端会话访问；

7、非常简单的加密 API；

8、不跟任何的框架或者容器捆绑，可以独立运行。

Spring Security特点

除了不能脱离Spring，shiro的功能它都有。

而且Spring Security对Oauth、OpenID也有支持,Shiro则需要自己手动实现。Spring Security的权限细粒度更高（还未发现高在哪里）。