1、簡要介紹Shiro框架嗎?

Apache Shiro是Java的安全框架。 使用Shiro，可以輕松地開發足夠好的APP應用程序。 這不僅可以用于JavaSE環境，也可以用于JavaEE環境。 Shiro提供了身份驗證、許可、加密、會話管理、與Web集成和緩存等功能。

三個核心組件： Subject、SecurityManager和Realms。

Subject :“當前操作的用戶”。 然而，在Shiro中，Subject的概念不僅僅指人，還可以是第三方進程、后臺賬戶(Daemon Account )或其他類似物。 那只意味著“現在和軟件對話的東西”。 但是，考慮到很多目的和用途，可以認為是Shiro的“用戶”概念。 Subject表示當前用戶的安全操作。

安全管理器：是管理所有用戶安全操作的Shiro框架的核心和典型的Facade模型。 Shiro通過安全管理器管理內部組件實例，并通過這些實例提供各種安全管理服務。

Realm:Realm作為Shiro與APP應用程序安全數據之間的“橋梁”或“連接器”。 也就是說，當Shiro對用戶執行驗證(登錄)和授權(訪問控制)時，它將從APP應用程序配置的Realm中搜索用戶及其權限信息。

2、Shiro的四個主要組件?

安全管理器

典型的Facade、Shiro通過它對外提供安全管理的各種服務。

評估器

“世衛組織Are you? "進行驗證。 通常涉及用戶名和密碼。 此組件收集principals和credentials，并將其提交到APP應用程序系統。 如果提交的憑證與APP應用程序系統提供的憑證匹配，則可以繼續訪問。 如果不匹配，則必須重新提交principals和credentials或終止直接訪問。

Authorizer

通過認證后，此組件將幫助您篩選登錄者的訪問控制，包括“世衛組織can do what”和“世衛組織can do which actions”。 Shiro采用“基于Realm”的方法。 這意味著用戶、用戶組、角色和權限的聚合物。

會話管理器

該組件保證了異構客戶端的訪問，配置簡單。 它基于POJO/J2SE，不與任何客戶端或協議相關聯。

3、Shiro的工作原理?

APP代碼(APP應用代碼是我們自己的代碼。 程序內需要權限控制時，需要調用Subject的API。

Subject :主體表示當前用戶。 所有Subject都與SecurityManager捆綁在一起，與Subject的所有交互都委托給SecurityManager，可以將Subject視為一扇門。 真正的執行者是安全管理器。

SecurityManage (所有安全相關操作都與SecurityManager交互并管理所有Subject的安全管理器。

Realm (域shiro從Realm獲取安全數據(用戶、角色、權限)。 即安全管理器

要驗證用戶id，必須從Realm中獲取相應的用戶并進行比較，以確定用戶id是否合法。 此外，還必須從Realm獲得用戶的相應角色/權限，以驗證用戶是否可以操作。 Realm可以被認為是數據源，也就是安全的數據源。

4、Shiro的四種權限控制方式?

url級別的權限控制

方法注釋權限控制

代碼級別的權限控制

5、什么是粗粒子和微粒的權限?

資源類型的管理稱為粗粒度權限控制，只能控制菜單、按鈕和方法。 作為粗粒度的例子，用戶具有用戶管理的權限，并具有導出訂單行的權限。

管理資源實例稱為粒度管理，它管理數據級別的權限。 例如，用戶只允許修改自己部門的員工信息，用戶只允許導出自己創建的訂單詳細信息。

總結：

粗粒子權限：對url鏈接的控制。

微粒權限：數據級別的控制。

例如，衛生局可以咨詢所有用戶，衛生室只能咨詢我們的用戶。

6、粗粒子和微粒如何認可?

對于粗粒度的授權，很容易使用系統架構級別的功能，即系統功能操作中統一的粗粒度權限管理。 對于精細粒度授權，建議不要將其作為系統體系結構級別的功能。 由于數據級管理是系統的業務需求，業務功能很可能會隨著業務需求的變化而發生變化，因此建議在業務級定制和開發數據級權限管理。 例如，用戶只能通過在服務接口中添加驗證實現來更改自己創建的商品信息，服務接口必須接收當前操作員的標識信息。 與商品信息制作者的識別信息進行比較，如果不一致，則不允許變更商品

粗粒子權限：可以用過濾器批量阻止url。

微粒權限：服務控制，程序級控制，定制編程。

以上就是“整理出來的精選shiro面試題”，你能回答上來嗎?如果想要了解更多的Java面試題相關內容，可以關注動力節點Java官網。