Shiro框架面试题

1.简单介绍一下Shiro框架？

答：Shiro是Java的一个安全框架。使用Shiro可以非常容易的开发出足够好的应用。其不仅可以用在JavaSE环境，也可以用在JavaEE环境。Shiro可以帮助我们完成功能：认证、授权、加密、会话管理、与Web集成、缓存等。

三个核心组件分别是Subject，SecurityManager和Realms。

2.Shiro主要的组件？

答：（1）SecurityManager：典型的Facade，Shiro通过它对外提供安全管理的各种服务；（2）Authenticator：对“Who are you？”进行核实。通常涉及用户名和密码。这个组件负责收集principals和credentials，并将它们提交给应用系统。如果提交的credentials跟应用系统中提供的credentials吻合，就能够继续访问，否则需要重新提交principals和credentials，或者直接终止访问；（3）Authorizer：身份份验证通过后，由这个组件对登录人员进行访问控制的筛查，比如“who can do what”，或者“who can do which actions”。Shiro采用“基于Realm”的方法，即用户（又称Subject）、用户组、角色和permission的聚合体；（4）Session Manager：这个组件保证了异构客户端的访问，配置简单。它是基于POJO/J2SE的，不跟任何的客户端或者协议绑定

3.Shiro运行原理是什么？

答：（1）Application Code：应用程序代码，就是我们自己的编码，如果在程序中需要进行权限控制，需要调用Subject的API；（2）Subject：主体代表了当前用户。所有的Subject都绑定到Security Manager，与Subject的所有交互都会委托给Security Manager，可以将Subject当成一个门面，而真正执行者是Security Manager；（3）Security Manage：安全管理器，所有与安全有关的操作都会与Security Manager交互，并且它管理所有的Subject；（4）Realm：域shiro是从Realm来获取安全数据（用户，角色，权限）。就是说Security Manager。

要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource，即安全数据源。

4.Shiro的权限控制方式是什么？

答：url级别权限控制；方法注解权限控制；代码级别权限控制。

5.什么是粗颗粒和细颗粒权限？

答：对资源类型的管理称为粗颗粒度权限控制，即只控制到菜单、按钮、方法。粗粒度的例子比如：用户具有用户管理的权限，具有导出订单明细的权限。

对资源实例的控制称为细颗粒度权限管理，即控制到数据级别的权限，比如：用户只允许修改本部门的员工信息，用户只允许导出自己创建的订单明细。

6.粗颗粒和细颗粒如何授权？

答：对于粗颗粒度的授权可以很容易做系统架构级别的功能，即系统功能操作使用统一的粗颗粒度的权限管理。对于细颗粒度的授权不建议做成系统架构级别的功能，因为对数据级别的控制是系统的业务需求，随着业务需求的变更业务功能变化的可能性很大，建议对数据级别的权限控制在业务层个性化开发，比如：用户只允许修改自己创建的商品信息可以在service接口添加校验实现，service接口需要传入当前操作人的标识，与商品信息创建人标识对比，不一致则不允许修改商品信息。

粗颗粒权限：可以使用过虑器统一拦截url。

细颗粒权限：在service中控制，在程序级别来控制，个性化编程。

7.shiro的优点都有什么？

答：简单的身份验证，支持多种数据源；对角色的简单授权，支持细粒度的授权；支持一级缓存，以提升应用程序的性能；内置基于POJO的企业会话管理，适用于web及非web环境；非常简单的API加密；不跟任何框架绑定，可以独立运行。

8.如何配置在Spring中配置使用Shiro？

答：首先在web.xml中配置Shiro的Filter；其次在Spring的配置文件中配置Shiro:

>配置自定义Realm：实现自定义认证和授权

>配置Shiro实体类使用的缓存策略

>配置SecurityManager

>配置保证Shiro内部Bean声明周期都得到执行的Lifecycle Bean后置处理器

>配置AOP式方法级权限检查

>配置Shiro Filter

9.比较Spring Security和Shiro？

答：相比Spring Security,Shiro在保持强大功能的同时,使用简单性和灵活性；Spring Security即使是一个一个简单的请求，最少得经过它的8个Filter；

Spring Security必须在Spring的环境下使用。

10.Shiro授权过程是怎样的？

(1)应用程序或框架代码调用任何Subject的hasRole*,checkRole*,is Permitted*,或者check Permission*方法的变体,传递任何所需的权限；

(2)Subject的实例调用security Manager的对应的方法，Subject实例;

(3)Security Manager调用org.apache.shiro.authz.Authorizer接口的对应方法，默认情况下，authorizer实例是一个Modular Realm Authorizer实例,它支持协调任何授权操作过程中的一个或多个Realm实例；

(4)每个配置好的Realm被检查是否实现了相同的Authorizer接口.如果是,Realm各自的hasRole*,checkRole*,isPermitted*，或checkPermission*方法将被调用。

以上就是动力节点小编介绍的"Shiro框架面试题"，希望对大家有帮助，想了解更多可查看Shiro视频教程。动力节点在线学习教程，针对没有任何Java基础的读者学习,让你从入门到精通,主要介绍了一些Java基础的核心知识，让同学们更好更方便的学习和了解Java编程，感兴趣的同学可以关注一下。