java测试面试问题_struts2面试题

java测试面试问题_struts2面试题Javashiro面试题1、简单介绍一下Shiro框架?ApacheShiro是Java的一个安全框架。使用Shiro可以非常容易的开发出足够好的应用。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成功能:认证、授权、加密、会话管理、与Web集成、缓存等。三个核心组件:Subject,SecurityManager和Realms。●Subject:即“当…

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

Java shiro面试题

1、简单介绍一下Shiro框架?

Apache Shiro是Java的一个安全框架。使用Shiro可以非常容易的开发出足够好的应用。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成功能:认证、授权、加密、会话管理、与Web集成、缓存等。

三个核心组件:Subject,SecurityManager和Realms。

● Subject:即“当前操作用户”。但是在Shiro中Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。Subject代表了当前用户的安全操作。

● SecurityManager:它是管理所有用户的安全操作,是Shiro框架的核心,典型的Facade模式。Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

● Realm:Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

2、Shiro主要的四个组件?

● SecurityManager

典型的Facade,Shiro通过它对外提供安全管理的各种服务。

● Authenticator

对“Who are you?”进行核实。通常涉及用户名和密码。这个组件负责收集principals 和credentials,并将它们提交给应用系统。如果提交的credentials跟应用系统中提供的 credentials吻合,就能够继续访问,否则需要重新提交principals和credentials,或者直 接终止访问。

● Authorizer

身份份验证通过后,由这个组件对登录人员进行访问控制的筛查,比如“who can do what”,或者“who can do which actions”。Shiro采用“基于Realm”的方法,即用户 (又称Subject)、用户组、角色和permission的聚合体。

● Session Manager

这个组件保证了异构客户端的访问,配置简单。它是基于POJO/J2SE的,不跟任何的 客户端或者协议绑定。

3、Shiro运行原理?

● Application Code:应用程序代码,就是我们自己的编码,如果在程序中需要进行权限控制,需要调用Subject的API。

●Subject:主体代表了当前用户。所有的Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager,可以将Subject当成一个门面,而真正执行者是SecurityManager。

● SecurityManage:安全管理器,所有与安全有关的操作都会与SecurityManager交互,并且它管理所有的Subject。

● Realm:域shiro是从Realm来获取安全数据(用户,角色,权限)。就是说SecurityManager

要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否 合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以 把Realm看成DataSource,即安全数据源。

ca2b27e05be7a49571c0e2e925d19328.png

4、Shiro的四种权限控制方式?

● url级别权限控制

● 方法注解权限控制

● 代码级别权限控制

5、什么是粗颗粒和细颗粒权限?

对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法。粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限。

对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限,比如:用户只允许修改本部门的员工信息,用户只允许导出自己创建的订单明细。

● 总结:

粗颗粒权限:针对url链接的控制。

细颗粒权限:针对数据级别的控制。

比如:卫生局可以查询所有用户,卫生室只可以查询本单位的用户。

6、粗颗粒和细颗粒如何授权?

对于粗颗粒度的授权可以很容易做系统架构级别的功能,即系统功能操作使用统一的粗颗粒度的权限管理。对于细颗粒度的授权不建议做成系统架构级别的功能,因为对数据级别的控制是系统的业务需求,随着业务需求的变更业务功能变化的可能性很大,建议对数据级别的权限控制在业务层个性化开发,比如:用户只允许修改自己创建的商品信息可以在service接口添加校验实现,service接口需要传入当前操作人的标识,与商品信息创建人标识对比,不一致则不允许修改商品信息。

粗颗粒权限:可以使用过虑器统一拦截url。

细颗粒权限:在service中控制,在程序级别来控制,个性化编程。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/182056.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • windows安装深度linux,最漂亮的国产Linux,windows下安装深度操作系统步骤

    windows安装深度linux,最漂亮的国产Linux,windows下安装深度操作系统步骤GIF国产操作系统都是基于Linux进行的二次开发,有很多国产系统只是在Linux基础上进行一些美化、内置几个软件就号称自己是操作系统了。而为什么深度操作系统deepinLinux一直深受用户喜爱呢?虽然它也是基于Linux内核,但它的整个系统架构设计都是自己研发制作的。从显示管理器、资源管理器再到桌面环境及比较实用的深度全家桶,在这个系统上,你不仅可以Linux原生的软件,还可以使用QQ、TI…

  • 手机chrome禁止加载图片_com组件未加载或被禁止

    手机chrome禁止加载图片_com组件未加载或被禁止splash禁止图片加载

    2022年10月23日
  • wireshark捕获tcp数据包_抓包分析详解

    wireshark捕获tcp数据包_抓包分析详解一.实验目的通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及“TCP三次握手”。通过抓包和分析数据包来理解TCP/IP协议,进一步提高理论联系实践的能力。二.实验内容1.本次实验重点:利用Wireshark抓TCP包及TCP包的分析。2.本次实验难点:分析抓到的TCP包。3.本次实验环境:Windows7,Wiresha…

  • 华为面试内幕[通俗易懂]

    华为面试内幕[通俗易懂]华为面试内幕–写给想进华为的毕业生的话华为公司的面试过程分为5个环节:一面(技术)、二面(集体)、三面(性格测试)、四面(英语)、五面(综合)。通关者方可录用。这个流程表面上设计挺严谨的,还是某个著名公司设计的流程。但实际上华为

  • 【spring】属性注入

    【spring】属性注入【spring】属性注入

  • mysql中phpmyadmin安装教程_phpMyAdmin 安装教程全攻略「建议收藏」

    mysql中phpmyadmin安装教程_phpMyAdmin 安装教程全攻略「建议收藏」管理MYSQL数据库的最好工具是PHPmyAdmin,现在最新版本是phpMyAdmin2.9.0.2,这是一个国际上开源的软件,一直在更新版本,你可以从http://www.phpmyadmin.net官方网站上下载到,安装后可以远程更新数据库(其实是在服务器上安装)。安装办法请参考:phpMyAdmin安装攻略1、先下载phpMyAdmin安装包,http://www.phpm…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号