动力节点旗下在线教育品牌  |  咨询热线:400-8080-105 学Java全栈,上蛙课网
首页 > 文章

Java shiro面试题及答案汇总

06-10 16:45 2076浏览
举报 T字号
  • 大字
  • 中字
  • 小字

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,可以快速轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序都可以。今天就来盘点一下那些在面试中常考的shiro面试题,并附上答案,供java程序员更好的学习就业,顺利通过面试。

1、简单介绍一下Shiro框架?

答:Shiro是Java的一个安全框架。使用Shiro可以非常容易的开发出足够好的应用。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成功能:认证、授权、加密、会话管理、与Web集成、缓存等。

三个核心组件分别是Subject,SecurityManager和Realms。

2、Shiro主要的组件?

 答:(1SecurityManager:典型的Facade,Shiro通过它对外提供安全管理的各种服务;(2Authenticator:对“Who are you?”进行核实。通常涉及用户名和密码。这个组件负责收集principals 和credentials,并将它们提交给应用系统。如果提交的credentials跟应用系统中提供的 credentials吻合,就能够继续访问,否则需要重新提交principals和credentials,或者直 接终止访问;(3Authorizer:身份份验证通过后,由这个组件对登录人员进行访问控制的筛查,比如“who can do what”,或者“who can do which actions”。Shiro采用“基于Realm”的方法,即用户 (又称Subject)、用户组、角色和permission的聚合体;(4Session Manager:这个组件保证了异构客户端的访问,配置简单。它是基于POJO/J2SE的,不跟任何的 客户端或者协议绑定

3、Shiro运行原理是什么?

 答:(1Application Code:应用程序代码,就是我们自己的编码,如果在程序中需要进行权限控制,需要调用Subject的API;(2Subject:主体代表了当前用户。所有的Subject都绑定到Security Manager,与Subject的所有交互都会委托给Security Manager,可以将Subject当成一个门面,而真正执行者是Security Manager;(3Security Manage:安全管理器,所有与安全有关的操作都会与Security Manager交互,并且它管理所有的Subject;(4Realm:域shiro是从Realm来获取安全数据(用户,角色,权限)。就是说Security Manager。

要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否 合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以 把Realm看成DataSource,即安全数据源。

4、Shiro的权限控制方式是什么?

 答:url级别权限控制;方法注解权限控制;代码级别权限控制。

5、什么是粗颗粒和细颗粒权限?

答:对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法。粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限。

对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限,比如:用户只允许修改本部门的员工信息,用户只允许导出自己创建的订单明细。

6、粗颗粒和细颗粒如何授权?

答:对于粗颗粒度的授权可以很容易做系统架构级别的功能,即系统功能操作使用统一的粗颗粒度的权限管理。对于细颗粒度的授权不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。

粗颗粒权限:可以使用过虑器统一拦截url。

细颗粒权限:在service中控制,在程序级别来控制,个性化编程。

7、shiro的优点都有什么?

答:简单的身份验证,支持多种数据源;对角色的简单授权,支持细粒度的授权;支持一级缓存,以提升应用程序的性能;内置基于POJO的企业会话管理,适用于web及非web环境;非常简单的API加密;不跟任何框架绑定,可以独立运行。

8、如何配置在Spring中配置使用 Shiro?

答:首先在 web.xml 中配置 Shiro 的 Filter;其次在 Spring 的配置文件中配置  Shiro:

    > 配置自定义 Realm:实现自定义认证和授权

    > 配置 Shiro 实体类使用的缓存策略

    > 配置 SecurityManager

    > 配置保证 Shiro 内部 Bean 声明周期都得到执行的 Lifecycle Bean 后置处理器

    > 配置AOP 式方法级权限检查

    > 配置 Shiro Filter

9、比较 Spring SecurityShiro?

答:相比Spring Security, Shiro 在保持强大功能的同时, 使用简单性和灵活性;Spring Security即使是一个一个简单的请求,最少得经过它的8个Filter;

Spring Security必须在Spring 的环境下使用。

10、Shiro授权过程是怎样的?

答:(1)应用程序或框架代码调用任何Subject的hasRole*, checkRole*, is Permitted*,或者check Permission*方法的变体, 传递任何所需的权限;(2)Subject 的实例 调用security Manager 的对应的方法,Subject 实例;(3)

Security Manager调用org.apache.shiro.authz.Authorizer 接口的对应方法,默认情况下,authorizer 实例是一个 Modular Realm Authorizer实例, 它支持协调任何授权操作过程中的一个或多个Realm 实例;(4) 每个配置好的 Realm 被检查是否实现了相同的 Authorizer 接口. 如果是, Realm 各自的 hasRole*, checkRole*,isPermitted*,或 checkPermission* 方法将被调用。

10道题就是Shiro中的面试常考题了,相信大家学习准备好这几道题,在java面试中可以较为轻松的应对作答。但是同时也希望大家在学有余力的情况下更多的丰富Shiro方面在知识,比如可以看看Shiro安全框架的培训课程,不仅对上面的面试题有更深入的理解,还能快速掌握Shiro安全框架知识,解决项目开发中身份认证及授权相关安全问题,更进一步的提高自己的java技能。

1人推荐
共同学习,写下你的评论
0条评论
满天星
程序员满天星

5篇文章贡献24378字

作者相关文章更多>

推荐相关文章更多>

Java数据结构

HelloWorld10-31 08:24

浅谈MySQL中SQL优化的常用方法

军哥08-12 23:29

五分钟读懂UML类图

江湖人称小李白12-10 10:41

MyBatis开发框架的四大核心

IT逐梦者08-17 21:43

一次搞定continue,break和return

HelloWorld11-06 11:19

发评论

举报

0/150

取消