Java岗大厂面试百日冲刺【Day43】— Shrio1

● URL级别权限控制

1. 方法注解权限控制：

基于代理技术实现，首先要在spring配置文件中进行声明开启shiro注解，然后在代码方法上用注解声明调用该方法需要什么权限。

<bean id=“defaultAdvisorAutoProxyCreator”

class=“org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator”>

然后在方法上声明：

@RequiresPermissions(“user-delete”)

//执行这个方法，需要当前用户具有user-delete这个权限

public String deleteUser(){

staffService.deleteUser(user_name);

return LIST;

}

2. 页面标签权限控制：

首先要在jsp页面进入表签：

<%@ taglib uri=“http://shiro.apache.org/tags” prefix=“shiro” %>

然后包裹权限控制的内容

<shiro:hasPermission name=“user-delete”>

<!— 有权限 —>

删除用户

</shiro:hasPermission>

3.代码级别权限控制：

public String deleteUser(Model model){

Subject subject = SecurityUtils.getSubject();

if(subject…checkPermission(“user-delete”)) {

//有权限

} else {

//无权限

}

}

4. URL拦截权限控制：

基于filter过滤器实现，我们在spring配置文件中配置shiroFilter时配置

/css/ = anon

/js/ = anon

/images/ = anon

/validatecode.jsp = anon

/login.jsp = anon

/user/userlogin = anon

/user/deleteUser = perms[“user-delete”]

/** = authc

正常情况下，没有授权会跳转到为授权（登录）页面

anon：表示不拦截（匿名用户可访问）

user：使用rememberme的用户可访问

perms：对应权限可访问

role：对应的角色才能访问

authc：认证用户可访问

使用shiro进行权限控制时 这四种方法并不是进行单一的使用，是相互结合的使用从而完整的进行权限控制。

追问2：你还知道Shiro的其他组件么？简单说一下

---

• Subject： 与应用交互的用户

• SecurityManager： 相当于SpringMVC中的DispatcherServlet，所有具体的交互都由SecurityManager控制；它管理着所有的Subject，且负责进行认证，授权，会话和缓存的管理

• Realm： 安全实体数据源，可以有1个或多个

除了以上三个核心组件外，还包括：

• Authenticator： 认证器， 对用户身份进行验证；Authenticator是一个接口，shiro提供ModularRealmAuthenticator实现类，也可以自定义

• Authorizer： 授权器，决定用户是否有权限进行某种操作，控制着用户能访问应用中的哪些功能

• SessionManager： 管理session的生命周期（可以实现单点登录）

• CacheManager： 缓存管理器

• Cryptography： 密码管理模块

---

课间休息，又来秀一下来自咱们群里同学的搬砖工地，坐标：济南 大明湖。

作者：帅玉阳

---

面试题2：说一下Shiro认证和授权过程

===================================================================================

认证流程

• 首先调用 Subject.login(token)进行登录，其会自动委托给 Security Manager，调用之前必须通过 SecurityUtils.setSecurityManager()设置；

• SecurityManager 负责真正的身份验证逻辑；它会委托给 Authenticator 进行身份验证；

• Authenticator 才是真正的身份验证者，Shiro API 中核心的身份认证入口点，此处可以自定义插入自己的实现；

• Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证，默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证；

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip1024b （备注Java）

总结

谈到面试，其实说白了就是刷题刷题刷题，天天作死的刷。。。。。

为了准备这个“金三银四”的春招，狂刷一个月的题，狂补超多的漏洞知识，像这次美团面试问的算法、数据库、Redis、设计模式等这些题目都是我刷到过的

并且我也将自己刷的题全部整理成了PDF或者Word文档（含详细答案解析）

66个Java面试知识点

架构专题（MySQL，Java，Redis，线程，并发，设计模式，Nginx，Linux，框架，微服务等）+大厂面试题详解（百度，阿里，腾讯，华为，迅雷，网易，中兴，北京中软等）

算法刷题（PDF）

并且我也将自己刷的题全部整理成了PDF或者Word文档（含详细答案解析）*

[外链图片转存中…(img-ZVRNTYmn-1712088736894)]

66个Java面试知识点

架构专题（MySQL，Java，Redis，线程，并发，设计模式，Nginx，Linux，框架，微服务等）+大厂面试题详解（百度，阿里，腾讯，华为，迅雷，网易，中兴，北京中软等）

[外链图片转存中…(img-4yoq0ymM-1712088736894)]

算法刷题（PDF）

[外链图片转存中…(img-OsKAwJj3-1712088736895)]