搞Java后端的是不是都被Spring Security那一堆Filter Chain劝退过?
或者还在抱着已经半截入土的Shiro缝缝补补?
目前国产出了个Sa-Token,简直就是给权限认证这块硬骨头来了一次降维打击。
说白了,就是把原来需要写几十上百行配置、理解一堆晦涩概念才能搞定的登录、鉴权,浓缩成了几行代码。
看看Spring Security,光是理解`SecurityContextHolder`、`Authentication`、`UserDetails`这些就能绕晕不少人,配置链条又长又臭。
Sa-Token呢?
登录就是`StpUtil.login()`,判断就是`StpUtil.isLogin()`,加个权限注解`@SaCheckPermission`就完事了,直观到不像话。
它不止是简单。
它的设计思路很现代,特别适合目前的微服务和前后端分离架构。
默认用Cookie-Session,但想换成JWT模式,改个配置就行。
像token自动续签、同端互斥登录、强制下线这些过去要自己写一堆逻辑的麻烦事,人家都内置了。
单点登录(SSO)那块也做得特别好。
不管是同域名下的简单场景,还是跨域名、跨服务的复杂环境,它都提供了现成的解决方案,不用再自己研究怎么传token、怎么做重定向了。
当然,也不是说Spring Security就一无是处。
在那些和Spring生态深度绑定的超大型项目里,它的全面性和生态整合能力还是有优势的。
但对于90%的中小型项目、灵敏开发团队来说,Sa-Token的学习成本、开发效率和灵活性,几乎是碾压式的。
文档全中文,社区活跃,作者更新也勤快,基本没理由再去啃那些老古董了。
目前新项目还抱着Shiro不放,或者非要死磕Spring Security,只能说有点跟自己过不去了。
有这么好用的轮子摆在面前,干嘛非得重复造轮子呢。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
