1、簡要介紹Shiro框架嗎?

Apache Shiro是Java的安全框架。 使用Shiro，可以輕松地開發(fā)足夠好的APP應(yīng)用程序。 這不僅可以用于JavaSE環(huán)境，也可以用于JavaEE環(huán)境。 Shiro提供了身份驗(yàn)證、許可、加密、會話管理、與Web集成和緩存等功能。

三個核心組件： Subject、SecurityManager和Realms。

Subject :“當(dāng)前操作的用戶”。 然而，在Shiro中，Subject的概念不僅僅指人，還可以是第三方進(jìn)程、后臺賬戶(Daemon Account )或其他類似物。 那只意味著“現(xiàn)在和軟件對話的東西”。 但是，考慮到很多目的和用途，可以認(rèn)為是Shiro的“用戶”概念。 Subject表示當(dāng)前用戶的安全操作。

安全管理器：是管理所有用戶安全操作的Shiro框架的核心和典型的Facade模型。 Shiro通過安全管理器管理內(nèi)部組件實(shí)例，并通過這些實(shí)例提供各種安全管理服務(wù)。

Realm:Realm作為Shiro與APP應(yīng)用程序安全數(shù)據(jù)之間的“橋梁”或“連接器”。 也就是說，當(dāng)Shiro對用戶執(zhí)行驗(yàn)證(登錄)和授權(quán)(訪問控制)時，它將從APP應(yīng)用程序配置的Realm中搜索用戶及其權(quán)限信息。

2、Shiro的四個主要組件?

安全管理器

典型的Facade、Shiro通過它對外提供安全管理的各種服務(wù)。

評估器

“世衛(wèi)組織Are you? "進(jìn)行驗(yàn)證。 通常涉及用戶名和密碼。 此組件收集principals和credentials，并將其提交到APP應(yīng)用程序系統(tǒng)。 如果提交的憑證與APP應(yīng)用程序系統(tǒng)提供的憑證匹配，則可以繼續(xù)訪問。 如果不匹配，則必須重新提交principals和credentials或終止直接訪問。

Authorizer

通過認(rèn)證后，此組件將幫助您篩選登錄者的訪問控制，包括“世衛(wèi)組織can do what”和“世衛(wèi)組織can do which actions”。 Shiro采用“基于Realm”的方法。 這意味著用戶、用戶組、角色和權(quán)限的聚合物。

會話管理器

該組件保證了異構(gòu)客戶端的訪問，配置簡單。 它基于POJO/J2SE，不與任何客戶端或協(xié)議相關(guān)聯(lián)。

3、Shiro的工作原理?

APP代碼(APP應(yīng)用代碼是我們自己的代碼。 程序內(nèi)需要權(quán)限控制時，需要調(diào)用Subject的API。

Subject :主體表示當(dāng)前用戶。 所有Subject都與SecurityManager捆綁在一起，與Subject的所有交互都委托給SecurityManager，可以將Subject視為一扇門。 真正的執(zhí)行者是安全管理器。

SecurityManage (所有安全相關(guān)操作都與SecurityManager交互并管理所有Subject的安全管理器。

Realm (域shiro從Realm獲取安全數(shù)據(jù)(用戶、角色、權(quán)限)。 即安全管理器

要驗(yàn)證用戶id，必須從Realm中獲取相應(yīng)的用戶并進(jìn)行比較，以確定用戶id是否合法。 此外，還必須從Realm獲得用戶的相應(yīng)角色/權(quán)限，以驗(yàn)證用戶是否可以操作。 Realm可以被認(rèn)為是數(shù)據(jù)源，也就是安全的數(shù)據(jù)源。

4、Shiro的四種權(quán)限控制方式?

url級別的權(quán)限控制

方法注釋權(quán)限控制

代碼級別的權(quán)限控制

5、什么是粗粒子和微粒的權(quán)限?

資源類型的管理稱為粗粒度權(quán)限控制，只能控制菜單、按鈕和方法。 作為粗粒度的例子，用戶具有用戶管理的權(quán)限，并具有導(dǎo)出訂單行的權(quán)限。

管理資源實(shí)例稱為粒度管理，它管理數(shù)據(jù)級別的權(quán)限。 例如，用戶只允許修改自己部門的員工信息，用戶只允許導(dǎo)出自己創(chuàng)建的訂單詳細(xì)信息。

總結(jié)：

粗粒子權(quán)限：對url鏈接的控制。

微粒權(quán)限：數(shù)據(jù)級別的控制。

例如，衛(wèi)生局可以咨詢所有用戶，衛(wèi)生室只能咨詢我們的用戶。

6、粗粒子和微粒如何認(rèn)可?

對于粗粒度的授權(quán)，很容易使用系統(tǒng)架構(gòu)級別的功能，即系統(tǒng)功能操作中統(tǒng)一的粗粒度權(quán)限管理。 對于精細(xì)粒度授權(quán)，建議不要將其作為系統(tǒng)體系結(jié)構(gòu)級別的功能。 由于數(shù)據(jù)級管理是系統(tǒng)的業(yè)務(wù)需求，業(yè)務(wù)功能很可能會隨著業(yè)務(wù)需求的變化而發(fā)生變化，因此建議在業(yè)務(wù)級定制和開發(fā)數(shù)據(jù)級權(quán)限管理。 例如，用戶只能通過在服務(wù)接口中添加驗(yàn)證實(shí)現(xiàn)來更改自己創(chuàng)建的商品信息，服務(wù)接口必須接收當(dāng)前操作員的標(biāo)識信息。 與商品信息制作者的識別信息進(jìn)行比較，如果不一致，則不允許變更商品

粗粒子權(quán)限：可以用過濾器批量阻止url。

微粒權(quán)限：服務(wù)控制，程序級控制，定制編程。

以上就是“整理出來的精選shiro面試題”，你能回答上來嗎?如果想要了解更多的Java面試題相關(guān)內(nèi)容，可以關(guān)注動力節(jié)點(diǎn)Java官網(wǎng)。