• shiro面试题


    什么是Shiro
    Shiro是一个强大易用的java安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架,shiro要简单的多。

    1.shiro的优点
    1、 简单的身份验证,支持多种数据源
    2、对角色的简单授权,支持细粒度的授权(方法)
    3、支持一级缓存,以提升应用程序的性能
    4、内置基于POJO的企业会话管理,适用于web及非web环境
    5、非常简单的API加密
    6、不跟任何框架绑定,可以独立运行

    2.Shiro 架构 核心组件:
    Authenticator:管理登陆登出
    Autorizer:授权器赋予主体有那些权限
    session Manager:shiro自己实现session管理器
    session DAO:提供了session的增删改插
    Cache Manager:缓冲管理器
    Raelms:和数据库交互的桥梁

    3.Authorization 授权
    授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)
    授权流程:
    首先调用Subject.isPermitted*/hasRole_接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;
    Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”), 其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
    在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
    Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted_/hasRole*会返回true, 否则返回false表示授权失败。

    4.Cryptography 加密
    编码/解码
    Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作
    Base64.encodeToString(str.getBytes())编码
    Base64.decodeToString(base64Encoded) 解码
    散列算法
    常见散列算法如MD5,SHA等

    5.Realm 域
    定义Realm(自定义Realm继承AuthorizingRealm即可)
    (1).UserRealm父类AuthorizingRealm将获取Subject相关信息分成两步:获取身份验证信息(doGetAuthenticationInfo)及授权信息(doGetAuthorizationInfo)
    (2).doGetAuthenticationInfo获取身份验证相关信息:首先根据传入的用户名获取User信息;如果user为空,那么抛出没找到账号异常UnknownAccountExecption;如果user找到但却被锁定了抛出锁定异常LockedAccountException;最后生成AuthenticationInfo信息,交给间接父类AuthenticatingRealm使用CredentialsMatcher进行判断密码是否匹配,如果不匹配将抛出密码错误异常信息IncorrectCredentialsException;如果密码重试次数太多将抛出超出重试次数异常ExcessiveAttemptsException;在组装SimpleAuthenticationInfo信息时,需要传入:身份信息(用户名)、凭据(密文密码)、盐(username+salt),CredentialsMatcher使用盐加密传入的明文密码和此处的密文密码进行匹配。
    (3).doGetAuthorizationInfo获取授权信息:PrincipalCollection是一个身份集合,因为只用到了一个Realm,所以直接调用getPrimaryPrincipal得到之前传入的用户名即可;然后根据用户名调用UserService接口获取角色及权限信息。
    AuthenticationInfo的两个作用
    (1).如果Realm是AuthenticatingRealm子类,则提供给AuthenticatingRealm内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的(2).Realm中实现验证);
    提供给SecurityManager来创建Subject(提供身份信息);

    6.Shiro的核心概念Subject、SecurityManager、Realm
    Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如爬虫、机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者。
    SecurityManager:安全管理器;即所有与安全有关的操作都会与SecurityManager交互;且它管理着所有Subject;可以看出它是shiro的核心, SecurityManager相当于spring mvc中的dispatcherServlet前端控制器。
    Realm:域,shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

    7.shiro认证过程
    创建SecurityManager -> 主体提交认证 -> SecurityManager认证 -> Authenticator认证 -> Realm验证

    8.shiro 注解
    1、 @RequiresAuthentication : 表示当前Subject已经通过login进行了身份验证;即 Subject.isAuthenticated() 返回 true
    2、@RequiresUser : 表示当前Subject 已经身份验证或者通过记住我登录的
    3、@RequiresGuest : 表示当前Subject没有身份验证或通过记住我登陆过,即是游客身份
    4、@RequiresRoles(value = { “admin”, “user” }, logical = Logical.AND) : 表示当前 Subject 需要角色 admin和user
    5、@RequiresPermissions(value = { “user:a”, “user:b” }, logical = Logical.OR) : 表示当前 Subject 需要权限 user:a 或 user:b

    9.拦截器
    基于表单登录拦截器
    onPreHandle主要流程:
    首先判断是否已经登录过了,如果已经登录过了继续拦截器链即可;
    如果没有登录,看看是否是登录请求,如果是get方法的登录页面请求,则继续拦截器链(到请求页面),否则如果是get方法的其他页面请求则保存当前请求并重定向到登录页面;
    如果是post方法的登录页面表单提交请求,则收集用户名/密码登录即可,如果失败了保存错误消息到“shiroLoginFailure”并返回到登录页面;
    如果登录成功了,且之前有保存的请求,则重定向到之前的这个请求,否则到默认的成功页面。
    任意角色授权拦截器流程:

    首先判断用户有没有任意角色,如果没有返回false,将到onAccessDenied进行处理;
    如果用户没有角色,接着判断用户有没有登录,如果没有登录先重定向到登录;
    如果用户没有角色且设置了未授权页面(unauthorizedUrl),那么重定向到未授权页面;否则直接返回401未授权错误码。
    默认拦截器
    身份验证相关的
    authc 基于表单的拦截器,即验证成功之后才能访问 /=authc
    authcBasic Basic HTTP身份验证拦截器,主要属性:applicationName
    logout 退出 /logout=logout
    user 用户拦截器 /=user
    anon 匿名拦截器,一般用于静态资源过滤 /static/=anon
    授权相关的
    roles 角色授权拦截器,主要属性:loginUrl,unauthorizedUrl /admin/=roles[admin]
    perms 权限授权拦截器 /user/**=perms[“user:create”]
    port 端口拦截器,主要属性: port(80) /test=port[80]
    rest rest风格拦截器 /users=rest[user],会自动拼接出“user:read,user:create,user:update,user:delete”
    ssl ssl拦截器,只有请求协议是https才能通过

    10.Jsp标签
    导入标签库:
    <%@taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>
    shiro:guest标签 匿名访问,即游客访问信息
    shiro:user标签 用户已经身份验证/记住我登录后显示相应的信息
    shiro:authenticated 用户已经身份验证通过,即Subject.login登录成功,不是记住我login
    shiro:notAuthenticated 未身份验证(包括记住我)
    shiro:principal/ 显示用户身份信息,默认调用Subject.getPrincipal()获取

    相当于 Subject.getPrincipals().oneByType(String.class)。

    相当于 Subject.getPrincipals().oneByType(String.class)。

    相当于 ((User)Subject.getPrincipals()).getUsername()。
    当前用户拥有admin角色
    当前用户拥有admin/user角色
    当前用户没有abc角色
    当前用户拥有权限user:create
    导入自定义标签:
    <%@taglib prefix=“zhang” tagdir=“/WEB-INF/tags” %>
    用户[shiro:principal/]拥有角色admin和user

    用户[shiro:principal/]拥有权限user:create和user:update
    用户[shiro:principal/]拥有权限user:create或abc:update

  • 相关阅读:
    前端面试指南之React篇(二)
    SSM公司企业绩效考核管理系统
    游戏SDK应用内悬浮窗的实现(三)
    AtCoder Beginner Contest 264 G.String Fair(最短路/暴力dp 补写法)
    数据结构与算法面试题——C++
    爬取动态网页内容的库
    docker-compose手册
    Java数据结构第三课 —— 泛型(2)
    爱的历史摘录(西蒙·梅)
    解决Vue中ecahrts组件不能自适应问题
  • 原文地址:https://blog.csdn.net/m0_67401270/article/details/126496524