sureness 1.0.2 发布，面向 restful api 的认证鉴权框架

新增特性

• 支持seesion认证鉴权 #86
• 添加seesion使用样例 #87
• 添加分布式缓存session使用样例 #88
• 去除防sql注入中的 (--)字符串正则匹配，防止其误识别jwt的问题 #85

BugFix

• Fix the problem that authentication is still needed when the resource… #84
• fix api can be accessed by any role when accessRole not config #83

使用

<dependency>
    <groupId>com.usthe.sureness</groupId>
    <artifactId>sureness-core</artifactId>
    <version>1.0.2</version>
</dependency>

📫 背景

在主流的先后端分离架构中，如何经过有效快速的认证鉴权来保护后端提供的restful api变得尤其重要。对现存框架，不原生支持rest的apache shiro，
仍是深度绑定spring，较慢性能，学习曲线陡峭的spring security，或多或少都不是咱们的理想型。
因而乎sureness诞生了，咱们但愿能解决这些，提供一个面向restful api，无框架依赖，能够动态修改权限，多认证策略，更快速度，易用易扩展的认证鉴权框架。

🎡 介绍

sureness 是咱们在深度使用权限框架 apache shiro 以后,吸收其一些优势全新设计开发的一个认证鉴权框架
面向 restful api 的认证鉴权,基于 rbac (用户-角色-资源)主要关注于对 restful api 的安全保护
无特定框架依赖(本质就是过滤器处拦截判断,已有springboot,quarkus,javalin,ktor等集成样例)
支持动态修改权限配置(动态修改配置每一个rest api谁有权访问)
支持 websocket ,主流http容器 servlet 和 jax-rs
支持多种认证策略, jwt, basic auth, digest auth ... 可扩展自定义支持的认证方式
基于改进的字典匹配树拥有的高性能
良好的扩展接口, 样例和文档

sureness的低配置，易扩展，不耦合其余框架，但愿能帮助开发者对本身的项目多场景快速安全的进行保护

🔍 框架对比

~	sureness	shiro	spring security
多框架支持	支持	需改动支持	不支持
restful api	支持	需改动支持	支持
websocket	支持	不支持	不支持
过滤链匹配	优化的字典匹配树	ant匹配	ant匹配
注解支持	支持	支持	支持
servlet	支持	支持	支持
jax-rs	支持	不支持	不支持
权限动态修改	支持	需改动支持	需改动支持
性能速度	较快	较慢	较慢
学习曲线	简单	简单	陡峭

📈 基准性能测试

**基准测试显示sureness对比无权限框架应用损耗0.026ms性能，shiro损耗0.088ms,spring security损耗0.116ms，
相比之下sureness基本不消耗性能，且性能(参考TPS损耗)是shiro的3倍，spring security的4倍**
性能差距会随着api匹配链的增长而进一步拉大
详见基准测试

✌ 框架支持样例

• sureness集成springboot样例(配置文件方案) sample-bootstrap
• sureness集成springboot样例(数据库方案) sample-tom
• sureness集成quarkus样例 sample-quarkus
• sureness集成javalin样例 sample-javalin
• sureness集成ktor样例 sample-ktor
• sureness集成spring webflux样例 sample-spring-webflux
• more samples todo

项目仓库地址，欢迎使用，开源不易，以为不错请大佬们star下给予鼓励，弯腰感谢。

GITHUB仓库地址
GITEE仓库地址