Spring Security 为啥是个垃圾框架?

共 2685字,需浏览 6分钟

 ·

2023-10-12 15:57

点击关注公众号:互联网架构师,后台回复 2T获取2TB学习资源!

上一篇:2T架构师学习资料干货分享

古时候写代码,权限这块写过一个库,基本就是一个泛型接口,里面有几个方法:
如验证输入的principal和credentials,返回token和authorities和roles,role就是一堆authorities集,也就说就是返回一堆authorities。然后每次请求会拿token找到authorities,然后再判断当前请求的资源(其实就是url)包不包括在authorities内。
这接口实现不复杂,也可很复杂自己实现,因为是接口,里面的方法参数都带了很多上下文,所以基本可以获取到所有有用的信息。当年用这接口几乎就没解决不了的权限问题。
后来用spring,更简单了,就是aop一下controller,然后类似那种接口鉴权,不aop就用filter或者拦截器一样的。
再后来,发现spring security粗略研究下。好呀,什么AuthenticationManager,AuthenticationProvider,UserDetailsService,SecurityContextHolder,SecurityInterceptor眼花缭乱,无从下手。而且,不知道是我没注意还是眼瞎,这玩意儿似乎和web或者webflux强耦合。当时有个需求是session(其实就是token)放在redis里,有个同事为实现这简单东西似乎要重写整个HttpSession类?
还有也是因为我们的权限配置是在另一个服务里,所以获取权限的时候要重写UserDetailsService?
不知道是我同事水平不够还是版本太老,反正看的我瑟瑟发抖。
有必要系统学习这东西吗?其实我看半天整个spring security实现的东西似乎和我自己的那种接口思想没什么区别。现在有新项目了,到底要不要系统学习spring security,是我理解太肤浅?

Spring Security就是个垃圾框架

这观点完全正确,因为他把所有扩展完全用接口概念去做,仅适合中小型项目。
对稍大项目,要求多端登录,设备标识等特殊需求实现起来异常复杂。一旦要变更,其给的接口根本无法满足企业需求。
shrio才是好框架,虽简单,但对经验丰富的程序员仅需2~3天就可实现所有spring security功能,且扩展性更强。
我为了学spring security花了一个月时间才掌握所有知识点,但概念太多,几个月后让我改登录,直接懵了。相信我,任何一个程序员面对spring security更新,加上隔几个月或半年之后,大部分人都懵逼,因为原有的接口不能用了。
而shrio则不同,接口实现几乎无变化,但是要求必须精通jwt和oauth协议。精通这两个协议,最多一周而且就算过几年,改登录需求,依然可以快速上手。
那些说spring security好的,大部分都是搞培训或装13,不要相信。

Sa-token也很香

之前粗略看spring security,没太看懂,sa-token跟着官方文档给项目里加了下,感觉真的简单,还能实现token自动续期的问题,太香!

最后,关注公众号互联网架构师,在后台回复:2T,可以获取我整理的 Java 系列面试题和答案,非常齐全。


正文结束


推荐阅读 ↓↓↓

1.JetBrains 如何看待自己的软件在中国被频繁破解?

2.无意中发现了一位清华妹子的资料库!

3.程序员一般可以从什么平台接私活?

4.40岁,刚被裁,想说点啥。

5.为什么国内 996 干不过国外的 955呢?

6.中国的铁路订票系统在世界上属于什么水平?                        

7.15张图看懂瞎忙和高效的区别!

浏览 1073
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报