Shiro总结面试问题

最新推荐文章于 2020-11-16 17:22:06 发布
置顶 最新推荐文章于 2020-11-16 17:22:06 发布
阅读量2.2k 收藏 30
点赞数 2
分类专栏: 面试题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43286578/article/details/106162039
版权

Shiro总结

Shiro可做哪些事:

认证、授权、加密、会话管理、与web集成、缓存等

最简单的Shiro应用是怎样运行的:

应用代码通过Subject来进行认证和授权,而Subject又委托给SecurityManager
我们需要给Shiro的SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。

简单Shiro应用运行流程
Apache Shiro的三大核心组件:

  1. Subject:当前用户的操作(所有的Subject实例都被绑定到一个SecurityManager上)
  2. SecurityManager:用于管理所有的Subject(Shiro架构的心脏,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务)
  3. Realms:用于进行权限信息的验证(本质上是一个特定的DAO,必须指定至少一个Realm用来进行身份验证和授权 )

Authentication和Authorization:
在Shiro的用户权限认证过程中其通过两个方法来实现:

  1. Authentication:是验证用户身份的过程
  2. Authorization:是授权访问控制,用于对用户进行的操作进行认证授权,证明该用户是否允许进行当前操作,如访问某个链接,某个资源文件等。

其他组件:
除了上述几个组件外:Shiro还有几个组件:

  1. SessionManager:Shiro为任何应用提供了一个会话编程范式。
  2. CacheManager:对Shiro的其他组件提供缓存支持。

Shiro的优点:

  1. 简单你的身份认证,支持多种数据源
  2. 非常简单的加密API
  3. 对角色的简单的授权,支持细粒度的授权(方法级)
  4. 支持一级缓存,以提升应用程序的性能
  5. 内置的基于POJO企业会话管理,适用于Web以及非Web的环境
  6. 不跟任何的框架或者容器捆绑,可以独立运行

比较Spring Security和Apache Shiro:

  1. 相比Spring Security,Shiro在保持强大功能的同时,使用简单性和灵活性
  2. Spring Security:即便是一个一个简单的请求,最少得经过它的8个Filter
  3. Spring Security必须在Spring的环境下使用
  4. 初学Spring Security,曲线还是较大,需要深入学习其源码呵呵框架,配置起来也较费力

Shiro如何自实现认证:

Shiro的认证过程由Realm执行,SecurityManager会调用Realm包下的getAuthenticationInfo(AuthenticationToken token)方法。
实际开发中,通常提供org.apache.shiro.realm.AuthenticatingRealm 的实现类,并在该实现类中提供doGetAuthenticationInfo(AuthenticationToken token)方法的具体实现。

Shiro如何实现自实现授权:

实际开发中,通常提供org.apache.shiro.realm.AuthenticatingRealm 的实现类,并提供doGetAuthorizationInfo(PrincipalCollection principals)方法的具体实现。

配置ShiroConfig

  1. 创建一个方法并给注解@Bean将其交给Spring进行管理,返回类型为ShiroFilterFactoryBean类型 参数为SecurityManager securityManager
  2. 在方法中new ShiroFilterFactoryBean(),运用setSecurityManager()把securityManager传进去进行设置
  3. 运用setLoginUrl让用户在访问某个接口需要登录时跳转页面,运用setUnauthorizedUrl让用户登录后没有权限时跳转页面
  4. new LinkedHashMap<>();把相关路径所需的权限进行设置,之后把其交给setFilterChainDefinitionMap()中。
  5. 创建一个方法并给注解@Bean将其交给Spring进行管理,返回类型为SecurityManager类型的securityManager()方法,new DefaultWebSecurityManager();
  6. 因其securityManager可以管理各种组件,所以可以绑定各种自定义的组件,设置绑定realm推荐放到最后,不然某些情况下不生效。

Shiro有哪些组件:

  1. Authentication:身份认证/登录,验证用户是不是拥有相应的身份。
  2. Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限
  3. Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
  4. Crypotgraphy:加密,保护数据的安全行,如密码加密存储到数据库,而不是明文存储;
  5. Web Support:Web支持,可以非常容易的集成到Web环境。
  6. Remember me:记住我,这是一个非常常见的功能,即一次登录后,下次再来的话不用登录了。
mitday
关注
  • 2
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro面试
koushen001的博客
09-28 370
Shiro中,Salt是一个随机的、唯一的值,用于增加密码的安全性。在验证用户密码时,系统会使用相同的Salt值来计算密码的哈希值,以确保相同的密码在不同用户之间具有不同的哈希值。当用户尝试登录时,Shiro会按顺序遍历每个配置的Realm,并使用第一个成功认证的Realm来完成登录。Apache Shiro是一个开源的Java安全框架,用于提供身份验证(Authentication)、授权(Authorization)、会话管理和密码加密等安全功能。Shiro提供了用于处理主体身份验证和授权的API。
java.mysql.spring.springmvc.springboot.springcloud.Redis.MQ.JVM.git.shiro高频面试题及答案
i_am_xiaobai的博客
05-18 3545
java.mysql.spring.springmvc.springboot.springcloud.Redis.MQ.JVM.git.shiro高频面试题及答案
CSDN最全面JavaEE面试题(Spring,SpringMVC,Hibernate,Mybatis)
01-04
1,java基础知识 2,javaWeb 3,java主流三大框架面试
Shiro面试必问
热门推荐
itlijinping_zhang的博客
03-11 1万+
Shiro的优点 简单的身份认证, 支持多种数据源 对角色的简单的授权, 支持细粒度的授权(方法级) 支持一级缓存,以提升应用程序的性能; 内置的基于 POJO 企业会话管理, 适用于 Web 以及非 Web 的环境 非常简单的加密 API 不跟任何的框架或者容器捆绑, 可以独立运行 简述Shiro的核心组件 Shiro 架构 3 个核心组件: Subject: 正在与系统交互的人或某一个第...
Apache Shiro安全框架深入讲解+面试题+案例
06-10
本课程共24节,包含一节课程总结面试题讲解。内容包括权限管理原理和表结构设计,基于文本域的身份验证和权限验证,基于JDBC域的身份验证和权限验证,盐和加密,集成web环境,shiro过滤器的使用,session的管理,...
吴天雄--shiro个人总结笔记.doc
04-30
Apache Shiro 是一款Java安全框架,它提供了身份认证、授权、加密和会话...对于面试和学习来说,掌握Shiro的基本概念、架构以及核心功能,可以帮助开发者构建安全的Java应用,并且在面试时展现出扎实的安全管理知识。
java面试大全。各大公司面试总结。知识点总结,共31个文档
04-12
11. **设计模式**:熟悉常见的23种设计模式,如单例、工厂、建造者、装饰器、代理、观察者、适配器等,并能应用到实际问题中。 12. **数据库操作**:了解JDBC基础,包括连接数据库、执行SQL、处理结果集。了解事务...
护网面试总结+DD安全工程师笔试问题
最新发布
10-14
"护网面试总结+DD安全工程师笔试问题" 这份资源概括了护网面试题的总结和DD安全工程师笔试问题,涵盖了多个方面的IT知识点。以下是对每个问题的详细解释和知识点总结: 1. JNI 函数在 Java 中函数名为 ...
Shiro 的学习总结
Eaphy's Blog
04-28 3171
一个简单的shiro应用流程,就是通过Subject来进行认证和授权,而Subject又委托给SecurityManager,然后向SecurityManager注入Realm,从而让SecurityManager能得到合法的用户及其权限进行判断。 Subject :包含 principals(身份)、credentials(凭证)两部分;SecurityManager :它管理着所有Subject
activemq,dubbo,linux,redis,shiro,solr笔记整合,基本都是面试会问到的经典题型
10-23
集合了activemq,dubbo,Linux,Redis,shiro, solr,各种经典面试问题,还有各方面重点笔记整合。
Java shiro面试题_Java最新面试题及答案-动力节点.html
03-22
Java shiro面试题_Java最新面试题及答案-动力节点.html
shiro(java安全框架)
java面试笔试
10-21 1万+
以下都是综合之前的人加上自己的一些小总结Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API...
第一次实习面试
shiropetto的专栏
10-01 929
    花了两个半小时到面试地点,等了十分多钟,拿到了一张三页的卷子,开始做题……    一向都很优柔寡断的我,对于这次的面试题真的是无语了。开始是数据结构的,还有几道选择题,比如会问,如果遇到技术上的问题会选择如何解决之类的,我想应该是测试性格之类的东西吧!之后还有两道编程题,任选一道,这些题还算简单,之后就基本上是在来回的看题,看来看去,就是写不出一个字来。。。 VC中异
框架相关的面试
HHY_Java的博客
11-22 311
 1. 使用Redis有哪些好处? (1) 速度快,因为数据存在内存中,类似于HashMap,HashMap的优势就是查找和操作的时间复杂度都是O(1) (2) 支持丰富数据类型,支持string,list,set,sorted set,hash (3) 支持事务,操作都是原子性,所谓的原子性就是对数据的更改要么全部执行,要么全部不执行 (4) 丰富的特性:可用于缓存,消息,按k
【JAVA面试题整理】框架之Shiro
不了痕的博客
03-16 2168
一、简单介绍一下Shiro框架 ApacheShiro是java的一个安全框架。使用shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。 三个核心组件:Subject、SecurityManager、Realms Subject:即“当前操作用户”。但是,在Sh...
Java面试系列总结Shiro
Carrieº 的博客
01-18 2491
1. 简单介绍一下Shiro框架 Apache Shiro是Java的一个安全框架。使用shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在...
Shiro框架-面试
weixin_44182750的博客
11-16 614
Shiro框架-面试篇 1、什么是ShiroShiro是一个权限管理的安全框架,可以帮助我们完成认证、授权、加密、会话管理、Web集成和缓存等。 2、三个核心组件: (1)Subject,当前操作用户。 (2)SecurityManager,最核心的组件,是Shiro框架的控制器,通过它来管理内部组件实例,并提供安全管理的各种服务。 (3)Realm,定义了访问数据的方式,用来连接不同的数据源,是Shiro与引用安全数据间的桥梁。 3、Shiro主要的四个组件: (1)SecurityManager,典
Shiro权限管理详解:用户认证与授权
"权限管理shiro学习总结" 在深入探讨Shiro这一权限管理框架之前,我们需要先理解权限管理的基本概念。权限管理是确保只有合法的主体(Subject)能够访问特定资源的过程,它涉及到用户认证和授权两个核心环节。用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值