- Java面試題及答案
- Java面向?qū)ο竺嬖囶}
- Java異常處理面試題
- Java常用API面試題
- Java數(shù)據(jù)類型面試題
- Java IO面試題
- Java集合面試題
- 經(jīng)典Java面試題及答案(1~41企業(yè)真題)
- 初級Java工程師面試題(42~81企業(yè)真題)
- Java基礎(chǔ)面試題精選(82~113企業(yè)真題)
- 初級Java程序員面試題(114~130企業(yè)真題)
- Java常見面試題及答案(131~140企業(yè)真題)
- Java經(jīng)典面試題及答案(140~146企業(yè)真題)
- Java基礎(chǔ)邏輯面試題
- Javaweb面試題及答案
- Java前端面試題及答案
- Java linux面試題及答案
- Java框架面試題及答案
- Java mysql面試題
- Java面試題mysql語句優(yōu)化部分
- Java oracle面試題及答案
- Java spring面試題及答案(1~11題)
- Java spring面試題及答案(12~44題)
- Java shiro面試題
- Java mybatis面試題及答案
- Java struts2面試題及答案
- Java Hibernate面試題
- Java初級面試題之Quartz定時任務(wù)
- Java Redis面試題
- Java ActiveMQ面試題
- Java Dubbo面試題
- Java高并發(fā)面試題
- 企業(yè)Java實(shí)戰(zhàn)面試題
- Java多線程和并發(fā)面試題(附答案)1~3題
- Java多線程和并發(fā)面試題(附答案)第4題
- Java多線程和并發(fā)面試題(附答案)第5題
- Java多線程和并發(fā)面試題(附答案)第6題
- Java多線程和并發(fā)面試題(附答案)第6題
- Java多線程和并發(fā)面試題(附答案)7~10題
- Java多線程和并發(fā)面試題(附答案)11~16題
- Java反射面試題及答案
- Java動態(tài)代理面試題及答案
- Java設(shè)計模式面試題(1~9題)
- Java設(shè)計模式筆試題(10~13題)
- Java類加載器面試題
- Java GC面試題及答案(1~5題)
- Java GC面試題及答案(第5題)
- Java GC面試題及答案(第5題)
- Java內(nèi)存溢出面試題
- Java內(nèi)存模型面試題
- Java多線程筆試題
- Java集合面試題
- Java mybatis面試題及答案
- Java p2p項(xiàng)目面試題
- Java volatile面試題
- Java線程面試題之線程間的通信方式
Java shiro面試題
1、簡單介紹一下Shiro框架?
Apache Shiro是Java的一個安全框架。使用Shiro可以非常容易的開發(fā)出足夠好的應(yīng)用。其不僅可以用在JavaSE環(huán)境,也可以用在JavaEE環(huán)境。Shiro可以幫助我們完成功能:認(rèn)證、授權(quán)、加密、會話管理、與Web集成、緩存等。
三個核心組件:Subject,SecurityManager和Realms。
● Subject:即“當(dāng)前操作用戶”。但是在Shiro中Subject這一概念并不僅僅指人,也可以是第三方進(jìn)程、后臺帳戶(Daemon Account)或其他類似事物。它僅僅意味著“當(dāng)前跟軟件交互的東西”。但考慮到大多數(shù)目的和用途,你可以把它認(rèn)為是Shiro的“用戶”概念。Subject代表了當(dāng)前用戶的安全操作。
● SecurityManager:它是管理所有用戶的安全操作,是Shiro框架的核心,典型的Facade模式。Shiro通過SecurityManager來管理內(nèi)部組件實(shí)例,并通過它來提供安全管理的各種服務(wù)。
● Realm:Realm充當(dāng)了Shiro與應(yīng)用安全數(shù)據(jù)間的“橋梁”或者“連接器”。也就是說,當(dāng)對用戶執(zhí)行認(rèn)證(登錄)和授權(quán)(訪問控制)驗(yàn)證時,Shiro會從應(yīng)用配置的Realm中查找用戶及其權(quán)限信息。
2、Shiro主要的四個組件?
● SecurityManager
典型的Facade,Shiro通過它對外提供安全管理的各種服務(wù)。
● Authenticator
對“Who are you?”進(jìn)行核實(shí)。通常涉及用戶名和密碼。這個組件負(fù)責(zé)收集principals 和credentials,并將它們提交給應(yīng)用系統(tǒng)。如果提交的credentials跟應(yīng)用系統(tǒng)中提供的 credentials吻合,就能夠繼續(xù)訪問,否則需要重新提交principals和credentials,或者直 接終止訪問。
● Authorizer
身份份驗(yàn)證通過后,由這個組件對登錄人員進(jìn)行訪問控制的篩查,比如“who can do what”,或者“who can do which actions”。Shiro采用“基于Realm”的方法,即用戶 (又稱Subject)、用戶組、角色和permission的聚合體。
● Session Manager
這個組件保證了異構(gòu)客戶端的訪問,配置簡單。它是基于POJO/J2SE的,不跟任何的 客戶端或者協(xié)議綁定。
3、Shiro運(yùn)行原理?
● Application Code:應(yīng)用程序代碼,就是我們自己的編碼,如果在程序中需要進(jìn)行權(quán)限控制,需要調(diào)用Subject的API。
●Subject:主體代表了當(dāng)前用戶。所有的Subject都綁定到SecurityManager,與Subject的所有交互都會委托給SecurityManager,可以將Subject當(dāng)成一個門面,而真正執(zhí)行者是SecurityManager。
● SecurityManage:安全管理器,所有與安全有關(guān)的操作都會與SecurityManager交互,并且它管理所有的Subject。
● Realm:域shiro是從Realm來獲取安全數(shù)據(jù)(用戶,角色,權(quán)限)。就是說SecurityManager
要驗(yàn)證用戶身份,那么它需要從Realm獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否 合法;也需要從Realm得到用戶相應(yīng)的角色/權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作;可以 把Realm看成DataSource,即安全數(shù)據(jù)源。
4、Shiro的四種權(quán)限控制方式?
● url級別權(quán)限控制
● 方法注解權(quán)限控制
● 代碼級別權(quán)限控制
5、什么是粗顆粒和細(xì)顆粒權(quán)限?
對資源類型的管理稱為粗顆粒度權(quán)限控制,即只控制到菜單、按鈕、方法。粗粒度的例子比如:用戶具有用戶管理的權(quán)限,具有導(dǎo)出訂單明細(xì)的權(quán)限。
對資源實(shí)例的控制稱為細(xì)顆粒度權(quán)限管理,即控制到數(shù)據(jù)級別的權(quán)限,比如:用戶只允許修改本部門的員工信息,用戶只允許導(dǎo)出自己創(chuàng)建的訂單明細(xì)。
● 總結(jié):
粗顆粒權(quán)限:針對url鏈接的控制。
細(xì)顆粒權(quán)限:針對數(shù)據(jù)級別的控制。
比如:衛(wèi)生局可以查詢所有用戶,衛(wèi)生室只可以查詢本單位的用戶。
6、粗顆粒和細(xì)顆粒如何授權(quán)?
對于粗顆粒度的授權(quán)可以很容易做系統(tǒng)架構(gòu)級別的功能,即系統(tǒng)功能操作使用統(tǒng)一的粗顆粒度的權(quán)限管理。對于細(xì)顆粒度的授權(quán)不建議做成系統(tǒng)架構(gòu)級別的功能,因?yàn)閷?shù)據(jù)級別的控制是系統(tǒng)的業(yè)務(wù)需求,隨著業(yè)務(wù)需求的變更業(yè)務(wù)功能變化的可能性很大,建議對數(shù)據(jù)級別的權(quán)限控制在業(yè)務(wù)層個性化開發(fā),比如:用戶只允許修改自己創(chuàng)建的商品信息可以在service接口添加校驗(yàn)實(shí)現(xiàn),service接口需要傳入當(dāng)前操作人的標(biāo)識,與商品信息創(chuàng)建人標(biāo)識對比,不一致則不允許修改商品信息。
粗顆粒權(quán)限:可以使用過慮器統(tǒng)一攔截url。
細(xì)顆粒權(quán)限:在service中控制,在程序級別來控制,個性化編程。
