本文将对 Spring Security 和 SaToken 的适用性进行对比。需要特别指出的是,Spring Authorization Server (SAS) 作为 Spring Security 的 OAuth2 增强模块,同样归属于 Spring Security 阵营。

需要强调的是,本文的对比仅代表笔者的主观观点,并无意贬低或褒扬任何框架,内容仅供参考,不构成选择依据。

特性💡 Sa-Token💼 Spring Security (SAS)
功能覆盖提供基础认证、授权。支持会话管理、单点登录(SSO)。适用于简单到中等复杂度的安全场景。功能全面,支持认证与授权、CSRF 防护、OAuth2 和 JWT 集成,以及更复杂的安全防护机制(设备认证、无密码认证等)。
依赖管理轻量级,依赖少,容易集成。快速适配多种框架。灵活且简单的配置。深度集成于 Spring 生态。依赖较多,但功能强大。与 Spring Boot 配合默契,支持场景更丰富。
学习曲线学习门槛低,适合初学者或快速开发的项目。配置简单,开箱即用。学习门槛中高,需理解 Spring 机制。配置复杂,适合资深开发者。
维护与扩展代码简单,扩展点较少,如需定制则需要了解源码,基本上是需要定制自己的抽象实现。扩展点超多但实现复杂,需深刻理解框架机制。各种设计模式,Filter 链,事件机制等
API 稳定性当前版本 1.38 和,1.39 着力适配 OAuth 协议,变动较大。Spring 一贯风格,兼容性极佳。
pigx 快照版本使用pigx单体的开发与打包优化技巧