Spring Security和Apache Shiro都是廣泛使用的Java安全框架，它們都提供了許多功能來保護應用程序的安全性，包括身份驗證、授權、加密、會話管理等。

Spring Security和Apache Shiro都是非常常用的登錄安全框架,兩者在登錄安全架構的選型上各有特點:

Spring Security特點:

• 與Spring框架深度集成,學習曲線低

• 功能強大,模塊化設計,可以靈活選擇組件

• 提供完善的同源策略配置,防CSRF,方法保護等功能

• 配置復雜,文檔相對更難理解

Apache Shiro特點:

• API簡單,容易上手使用

• 同時支持認證、授權、會話管理、密碼加密等功能

• 配置更簡單靈活,基于INI配置也易于理解

• 與Spring框架集成不太緊密,需要額外配置

• 社區(qū)資源相對少一些

選型策略

• 如果是Spring項目,優(yōu)先考慮Spring Security,可以充分利用Spring生態(tài)

• 如果需要簡單快速的登錄認證,Shiro集成更快

• 如果需要靈活復雜的權限控制,Spring Security更優(yōu)

• 兩者都可以滿足常見登錄安全需求,可根據(jù)團隊偏好選擇

在選擇使用哪個框架時，需要考慮以下因素：

社區(qū)支持：Spring Security和Apache Shiro都有龐大的開源社區(qū)支持，并且都在不斷更新和改進。但是，Spring Security的社區(qū)比Apache Shiro更大，因此可以獲得更多的支持和解決方案。

功能和靈活性：Spring Security提供了更廣泛的安全功能，如OAuth2.0、OpenID Connect、SAML等。而Apache Shiro的設計目標是簡單靈活，因此更容易擴展和定制。

學習曲線：相對而言，Apache Shiro比Spring Security更容易學習和使用。但是，如果您已經(jīng)熟悉Spring生態(tài)系統(tǒng)和Spring Boot，那么使用Spring Security可能更加方便。

集成性：如果您正在使用Spring框架，則可以更容易地集成Spring Security。但是，如果您正在使用其他框架或技術，則可能更容易使用Apache Shiro。

總之,Spring Security和Shiro在登錄安全領域都有比較成熟的解決方案,根據(jù)具體業(yè)務系統(tǒng)的技術選型和團隊開發(fā)偏好,選擇更合適的框架可以使系統(tǒng)具有靈活、穩(wěn)定、高效的登錄安全機制。

確定好框架后，還需要對登錄流程模式進行選擇。登錄流程現(xiàn)在主要有兩種模式，?種是 session 模式，?種是 jwt 模式。如何選型

在選擇登錄流程模式時，應該綜合考慮以下因素：

1. 安全性：JWT模式相對于Session模式來說，更具有安全性，因為JWT可以通過簽名和加密來保護數(shù)據(jù)的完整性和機密性。而Session模式則需要在服務器端存儲會話狀態(tài)，因此存在被攻擊者劫持Session ID的風險。

2. 擴展性：JWT模式相對于Session模式來說，更具有擴展性，因為JWT是基于標準的JSON Web Token協(xié)議，可以被多種編程語言和平臺支持和使用。而Session模式則需要在服務器端存儲會話狀態(tài)，因此不太容易擴展和集成。

3. 性能：Session模式相對于JWT模式來說，更具有性能優(yōu)勢，因為Session是在服務器端存儲的狀態(tài)，可以直接使用內(nèi)存進行訪問和操作。而JWT則需要進行解碼和驗證，會占用一定的CPU資源和網(wǎng)絡帶寬。

4. 適用場景：Session模式適用于需要在服務器端存儲會話狀態(tài)的場景，例如需要共享會話狀態(tài)的單體應用程序。而JWT模式適用于需要跨多個服務進行身份驗證和授權的場景，例如微服務和分布式系統(tǒng)。

綜上所述，選擇使用哪種登錄流程模式取決于您的具體需求和技術棧。如果您需要更高的安全性和擴展性，并且需要在分布式系統(tǒng)中進行身份驗證和授權，則應該使用JWT模式。如果您需要更高的性能，并且需要在單體應用程序中進行會話管理，則應該使用Session模式。