shiro框架--常见⾯试问题
1、简单介绍⼀下Shiro框架?
答:Shiro是Java的⼀个安全框架。使⽤Shiro可以⾮常容易的开发出⾜够好的应⽤。其不仅可以⽤在JavaSE环境,也可以⽤在JavaEE环境。Shiro可以帮助我们完成功能:认证、授权、加密、会话管理、与Web集成、缓存等。
三个核⼼组件分别是Subject,SecurityManager和Realms。
2、Shiro主要的组件?
答:(1)SecurityManager:典型的Facade,Shiro通过它对外提供安全管理的各种服务;(2)Authenticator:对“Who are you?”进⾏核实。通常涉及⽤户名和密码。这个组件负责收集principals 和credentials,并将它们提交给应⽤系统。如果提交的credentials跟应⽤系统中提供的 credentials吻合,就能够继续访问,否则需要重新提交principals和credentials,或者直接终⽌访问;(3)Authorizer:⾝份份验证通过后,由这个组件对登录⼈员进⾏访问控制的筛查,⽐如“who can do what”,或者“who can do which actions”。Shiro采⽤“基于Realm”的⽅法,即⽤户(⼜称Subject)、⽤户组、⾓⾊和permission的聚合体;(4)Session Manager:这个组件保证了异构客户端的访问,配置简单。它是基于POJO/J2SE的,不跟任何的客户端或者协议绑定
3、Shiro运⾏原理是什么?
答:(1)Application Code:应⽤程序代码,就是我们⾃⼰的编码,如果在程序中需要进⾏权限控制,需要调⽤Subject的API;
(2)Subject:主体代表了当前⽤户。所有的Subject都绑定到Security Manager,与Subject的所有交互都会委托给Security Manager,可以将Subject当成⼀个门⾯,⽽真正执⾏者是Security Manager;(3)Security Manage:安全管理器,所有与安全有关的操作都会与Security Manager交互,并且它管理所有的Subject;(4)Realm:域shiro是从Realm来获取安全数据(⽤户,⾓⾊,权限)。就是说Security Manager。
要验证⽤户⾝份,那么它需要从Realm获取相应的⽤户进⾏⽐较以确定⽤户⾝份是否合法;也需要从Realm得到⽤户相应的⾓⾊/权限进⾏验证⽤户是否能进⾏操作;可以把Realm看成DataSource,即安全数据源。
4、Shiro的权限控制⽅式是什么?
答:url级别权限控制;⽅法注解权限控制;代码级别权限控制。
5、什么是粗颗粒和细颗粒权限?
答:对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、⽅法。粗粒度的例⼦⽐如:⽤户具有⽤户管理的权限,具有导出订单明细的权限。
对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限,⽐如:⽤户只允许修改本部门的员⼯信息,⽤户只允许导出⾃⼰创建的订单明细。
6、粗颗粒和细颗粒如何授权?
答:对于粗颗粒度的授权可以很容易做系统架构级别的功能,即系统功能操作使⽤统⼀的粗颗粒度的权限管理。对于细颗粒度的授权不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很⼤,建议对数据级别的权限控制在业务层个性化开发,⽐如:⽤户只允许修改⾃⼰创建的商品信息可以在service接⼝添加校验实现,service接⼝需要传⼊当前操作⼈的标识,与商品信息创建⼈标识对⽐,不⼀致则不允许修改商品信息。
粗颗粒权限:可以使⽤过虑器统⼀拦截url。
细颗粒权限:在service中控制,在程序级别来控制,个性化编程。
7、shiro的优点都有什么?
shiro安全框架
答:简单的⾝份验证,⽀持多种数据源;对⾓⾊的简单授权,⽀持细粒度的授权;⽀持⼀级缓存,以提升应⽤程序的性能;内置基于POJO 的企业会话管理,适⽤于web及⾮web环境;⾮常简单的API加密;不跟任何框架绑定,可以独⽴运⾏。
8、如何配置在Spring中配置使⽤ Shiro?
答:⾸先在 l 中配置 Shiro 的 Filter;其次在 Spring 的配置⽂件中配置  Shiro:
> 配置⾃定义 Realm:实现⾃定义认证和授权
> 配置 Shiro 实体类使⽤的缓存策略
> 配置 SecurityManager
> 配置保证 Shiro 内部 Bean 声明周期都得到执⾏的 Lifecycle Bean 后置处理器
> 配置AOP 式⽅法级权限检查
> 配置 Shiro Filter
9、⽐较和Shiro?
答:相⽐Spring Security, Shiro 在保持强⼤功能的同时, 使⽤简单性和灵活性;Spring Security即使是⼀个⼀个简单的请求,最少得经过它的8个Filter;
Spring Security必须在Spring 的环境下使⽤。
10、Shiro授权过程是怎样的?
答:(1)应⽤程序或框架代码调⽤任何Subject的hasRole*, checkRole*, is Permitted*,或者check Permission*⽅法的变体, 传递任何所需的权限;(2)Subject 的实例调⽤security Manager 的对应的⽅法,Subject 实例;(3)
Security Manager调⽤org.apache.shiro.authz.Authorizer 接⼝的对应⽅法,默认情况下,authorizer 实例是⼀个 Modular Realm Authorizer 实例, 它⽀持协调任何授权操作过程中的⼀个或多个Realm 实例;(4)每个配置好的 Realm 被检查是否实现了相同的 Authorizer 接⼝. 如果是, Realm 各⾃的 hasRole*, checkRole*,isPermitted*,或 checkPermission* ⽅法将被调⽤。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。