古时候写代码，权限这块写过一个库，基本就是一个泛型接口，里面有几个方法：

如验证输入的principal和credentials，返回token和authorities和roles，role就是一堆authorities集，也就说就是返回一堆authorities。然后每次请求会拿token找到authorities，然后再判断当前请求的资源（其实就是url）包不包括在authorities内。

这接口实现不复杂，也可很复杂自己实现，因为是接口，里面的方法参数都带了很多上下文，所以基本可以获取到所有有用的信息。当年用这接口几乎就没解决不了的权限问题。

后来用spring，更简单了，就是aop一下controller，然后类似那种接口鉴权，不aop就用filter或者拦截器一样的。

再后来，发现spring security粗略研究下。好呀，什么AuthenticationManager，AuthenticationProvider，UserDetailsService，SecurityContextHolder，SecurityInterceptor眼花缭乱，无从下手。而且，不知道是我没注意还是眼瞎，这玩意儿似乎和web或者webflux强耦合。当时有个需求是session（其实就是token）放在redis里，有个同事为实现这简单东西似乎要重写整个HttpSession类？

还有也是因为我们的权限配置是在另一个服务里，所以获取权限的时候要重写UserDetailsService？

不知道是我同事水平不够还是版本太老，反正看的我瑟瑟发抖。

有必要系统学习这东西吗？其实我看半天整个spring security实现的东西似乎和我自己的那种接口思想没什么区别。现在有新项目了，到底要不要系统学习spring security，是我理解太肤浅？

Spring Security就是个垃圾框架

这观点完全正确，因为他把所有扩展完全用接口概念去做，仅适合中小型项目。

对稍大项目，要求多端登录，设备标识等特殊需求实现起来异常复杂。一旦要变更，其给的接口根本无法满足企业需求。

shrio才是好框架，虽简单，但对经验丰富的程序员仅需2~3天就可实现所有spring security功能，且扩展性更强。

我为了学spring security花了一个月时间才掌握所有知识点，但概念太多，几个月后让我改登录，直接懵了。相信我，任何一个程序员面对spring security更新，加上隔几个月或半年之后，大部分人都懵逼，因为原有的接口不能用了。

而shrio则不同，接口实现几乎无变化，但是要求必须精通jwt和oauth协议。精通这两个协议，最多一周而且就算过几年，改登录需求，依然可以快速上手。

那些说spring security好的，大部分都是搞培训或装13，不要相信。

Sa-token也很香

之前粗略看spring security，没太看懂，sa-token跟着官方文档给项目里加了下，感觉真的简单，还能实现token自动续期的问题，太香！

本文由博客一文多发平台 OpenWrite 发布！