【备战秋招】权限常见面试题

最新推荐文章于 2025-01-10 13:59:13 发布
最新推荐文章于 2025-01-10 13:59:13 发布
阅读量810 收藏 2
点赞数
分类专栏: Java常见面试题 文章标签: java 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57597001/article/details/130415119
版权
文章讨论了基于Shiro的权限管理,包括认证和授权的实现方式,RBAC模型的概念及其优势。提到了如何手动编写Web过滤器验证权限,解释了Shiro中的anon和authc注解。此外,还涉及OAuth2认证流程,尤其是微信登录的OAuth2应用场景,以及为何不采用HTTPSession存储令牌,讨论了JWT作为令牌生成技术的安全考量。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文的面试题和答案均为本人自己收集,如有错误或者不足,欢迎大家指出

目录

你做过的系统,权限是怎么管理的

Shiro是靠什么做认证和授权的

什么是RBAC模型

如果让你手写一个Web过滤器验证权限,你会怎么写

Shiro的anon和authc都代表什么意思

你认为编写Web方法,用权限限定好,还是用角色限定好

如果一个web方法允许A权限或者B权限都可以访问,注解应该怎么写

@RequiresAuthentication注解是什么意思

在你的系统中,Shiro认证信息是怎么存放的

说一下什么是oauth2认证

如果网站支持微信登录,你能说一下微信登录oauth2流程么?

为什么不采用HTTpSession存储令牌

你们用什么技术生成的令牌

你们在客户端存放令牌,如果每次提交请求的时候,被抓包了,别人获取Token,就能伪造客户端发起请求,这个该怎么解决?

你做过的系统,权限是怎么管理的

shiro是非常知名的认证和授权框架,并且任意javaWeb项目都可以使用Shiro框架。所以在项目中采用Shiro框架和JWT技术来进行权限管理。

Shiro是靠什么做认证和授权的

可以利用HttpSession或者Redis存储用户的登录凭证以及用户的角色或者身份信息。然后利用过滤器Fillter对每个Http请求进行过滤。

什么是RBAC模型

RBAC模型是指,对于一个系统的权限并不是直接赋予用户的,而是在用户集合和权限集合之间创建一个角色集合,每一个角色都有相应的权限,在创建用户的时候会分配给用户一个或者多个角色,该用户就拥有此角色的所有操作权限。

这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。

如果让你手写一个Web过滤器验证权限,你会怎么写

  1. 创建一个权限管理类:创建一个权限管理类,该类可以存储所有权限的相关信息,例如权限名称、权限代码等。
  2. 编写 Web 过滤器类:编写一个 Web 过滤器类,该类可以实现 Filter 接口,并在 doFilter() 方法中进行权限验证。
  3. 配置 Web 过滤器:在 Web 应用程序的配置文件中,配置该 Web 过滤器。例如,可以使用 Web 配置类来设置过滤器的位置、名称等。
  4. 实现自定义权限检查方法:在权限管理类中,可以实现自定义的权限检查方法,例如 isUserInRole() 方法。该方法可以根据用户的角色信息,来检查用户是否拥有指定的角色。
  5. 调用自定义权限检查方法:在 Web 过滤器的 doFilter() 方法中,可以调用自定义权限检查方法,并根据返回值来决定是否允许请求通过。

在这个示例代码中,我们创建了一个 PermissionFilter 类,它实现了 OncePerRequestFilter 接口,并在 doFilter() 方法中进行权限验证。在验证权限时,我们使用了 Web 过滤器配置类来设置过滤器位置,并调用了自定义的权限检查方法 isUserInRole()。最后,我们使用 RedirectView 来重定向到权限页面。

import org.springframework.web.filter.OncePerRequestFilter;  
import org.springframework.web.servlet.ModelAndView;  
import org.springframework.web.servlet.handler.SimpleUrlHandlerMapping;  
import org.springframework.web.servlet.view.RedirectView;

import javax.servlet.ServletException;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;

public class PermissionFilter extends OncePerRequestFilter {

    private static final String PERMISSION_VIEW = "permission";

    @Override  
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,  
                                    FilterChain filterChain) throws ServletException, IOException {  
        // 设置过滤器位置  
        request.setAttribute("permissionFilter", "true");

        // 配置 Web 过滤器  
        String view = PERMISSION_VIEW;  
        SimpleUrlHandlerMapping mapping = new SimpleUrlHandlerMapping();
最低0.47元/天 解锁文章
面试题java权限_Java shiro面试题
weixin_33980357的博客
02-16 664
Java shiro面试题1、简单介绍一下Shiro框架?Apache Shiro是Java的一个安全框架。使用Shiro可以非常容易的开发出足够好的应用。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成功能:认证、授权、加密、会话管理、与Web集成、缓存等。三个核心组件:Subject,SecurityManager和Realms。● Subject:即“当...
程序员面试刷题的书哪个好-permission-management-system:菜单,部门,区域等资源权限于一体的按钮级权限管理系统htt
07-07
程序员面试刷题的书哪个好 权限管理系统(Permission-Management-System) 项目背景 一个系统它主要分为两大模块:业务功能模块+系统功能模块。权限管理系统其实并不是一套完整的系统,准确的说权限管理只是一个系统功能模块,一个系统能够实现什么功能还是需要业务模块的支持。但是这个权限管理却是每一个系统必不可少的一部分,所以,我决定通过自己所学的知识来完成这个权限管理功能模块。 项目目标 用户管理:用户能够通过创建的用户访问系统,操作系统的一些基本功能 角色管理:角色是权限的集合,在该系统中拥有角色就拥有了菜单,部门,区域这些资源的操作权限 菜单管理:管理用户在页面上看到的菜单选项和一些按钮 区域管理:也是一种资源权限,某角色拥有某个区域,它就可以使用这个区域范围内的一些功能 部门管理:每一个用户都有一个所属的部门 字典管理:存储一些系统中常用的字典值,例如:性别,区域类型... 日志管理:记录系统中的一些敏感性操作,在系统出现故障或非法入侵的时候提供帮助 项目所采用的技术 开发环境 操作系统:Windows8.1 部署服务器版本:Linux Ubuntu 16.04
面试题】技术场景 2、权限认证 RBAC
最新发布
言之。
01-10 1万+
权限认证在后台管理系统中难度较大且至关重要,常见的实现方式是 RBAC 权限模型。RBAC 即基于角色的访问控制,主要包含用户、角色和权限三个基础部分。在实际开发中,实现权限认证常借助权限框架。目前流行的有阿帕奇的 Shiro 和 Spring Security,其中 Spring Security 应用最为广泛。
最新面试题之;一条语句查出所有权限
12-09
最新面试题之;一条语句查出所有权限 /* 比如说 张三 的职位是 送货员 同时他也是网站管理员 同时也是 城市规划项目 的组员 现在张三登录系统了,系统要查出 张三 的所有权限 */
面试题:如何设计一个权限系统?
热门推荐
二师兄撒欢之地
11-26 1万+
点击上方“码农进阶之路”,选择“设为星标”回复“面经”获取面试资料来源:cnblogs.com/iceblow/p/11121362.html前言目前在公司负责权限这块,所以对权限这块的...
宝哥面试题分享(08): Java权限管理框架面试题
跟着宝哥学java的博客
03-14 761
权限管理
第二周6、用户组和权限面试题.
bayin4937的博客
07-30 375
**⽤户组和权限1、解释drwx rwx rwx中每个字符表⽰什么?2、linux操作系统中,lrwxr--r--中,l表⽰( )。3、linux系统中,添加⽤户的命令是( ),修改⽤户密码的命令是( )。4、在linux中root⽤户的UID号是( ),GID号是( )。5、linux中su与su -的区别是什么?6、给test.txt⽂件除所有者之外增加执⾏权限,最终以数⼦写出⽂件的权限?7、...
面试某电力企业的笔试题《权限管理系统》
陈敏
08-14 308
权限管理系统   实现的功能如下: 1.       为系统的资源(例如:菜单,页面等等)进行设置权限 2.       为不同的用户分配不同的权限 3.       用户只能操作自己权限内的资源   语言要求:Java 数据库:oracle,sqlserver,mysql任选其一   交付的产品 1.       数据库设计文档 2.       Java文件,Jsp文件...
关于框架的面试题
weixin_43714592的博客
02-03 476
1.Controller是不是单例?为什么这么设计? 默认是单例的,单例对象接受请求访问的时候是线程安全的,而且不用重复创建,性能高;
linux面试题(系统管理类——权限划分)
u012060395的博客
02-27 763
简述linux权限划分原则 linux的六种权限: 文件权限: 给文件或者目录分配权限时,先考虑所有者和所属组 遵循最小化权限原则:用啥权限给啥权限 修改目录及子文件归属或者权限时,注意递归 文件基本权限是最常用的,也是最有效 的linux安全防护手段 默认权限权限掩码目的是为了保证新建文件拥有默认权限,一般不需要手工设置 特殊权限: 特殊权限风险较大,禁止认为设置此类权限(SBIT权限...
13个认证授权常见面试题/知识点总结!java面试指南!
Fightevery的博客
06-28 461
我发现有很多小伙伴对认证授权方面的知识不是特别了解,搞不清 Session 认证、JWT 以及 Cookie 这些概念。 所以,根据我根据日常对这部分学习已经在项目中的实际运用总结了这 13 个相关的问题并且附上了详细的回答。希望能够对大家有帮助! 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么
java权限管理面试,一、JAVA面试2021最全版本-面试必过(02)
weixin_39700548的博客
03-22 317
一、finalize方法是干什么的?finalize是GC垃圾回收器自己调用的方法、用来回收没有指向的内存空间二、4种访问权限分别是什么?private、default(默认)、protected、public三、说一下你对异常的理解异常的话有一个父类叫throwable、他下面有两个子类分别是error和exceptionerror指的是错误、表示程序出现了一种无法避免和恢复的严重错误;exce...
MySQL面试之用户管理类问题
Thinkao 的博客
06-17 300
首先我们先提出几个问题? 1.如何在给定场景下为某用户授权 2.如何保证数据库账号的安全 3.如何从一个实例迁移数据库账号到另一个实例 答案解析如下: 一.如何在给定场景下为某用户授权 1.如何定义MySQL数据库账号? ·用户名@可访问控制列表(可访问控制列表填内容格式如下图:) ·使用create user命令建立用户 首先我们可以通过 \h create use...
面试题】 常问 路由权限控制怎么做?
weixin_66996746的博客
07-31 1137
路由权限、菜单权限、按钮权限
day72 关于rbac组件的小部分面试题
weixin_33910460的博客
04-14 424
rbac的权限组件 基于角色的权限控制 1.什么是权限?   url代表的就是一个权限 2.如何实现权限的控制?   表结构 以我们讲的课的内容为例   菜单表:     - title 标题     - icon 图标     - weight 权重   权限表:     - url 权限 这里要用到正则匹配 不加^$     - title 权限标题 展示分...
硬核总结 9 个关于认证授权常见面试题!看看自己能回答几个!
JavaGuide
03-09 4785
1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。 说简单点就是: 认证 (Authentication): 你是谁。 授权 (Authorization): 你有权限干什么。 稍...
【Vue面试题二十八】、vue要做权限管理该怎么做?如果控制到按钮级别的权限怎么做?
日常笔记 | 干货分享 | 毕设源码 | 毕设指导 | 答辩指导
10-15 593
主要分享开发知识、学习资料、毕业设计指导等。有兴趣的可以关注一下。为何分享?踩过的坑没必要让别人在再踩,自己复盘也能加深记忆。利己利人、所谓双赢。
Java高频面试题,谈谈你对OAuth的理解,这道题你会了吗?
Tom弹架构
09-08 945
OAuth是一个关于授权(Authorization)的开放技术标准,在全世界得到广泛应用,它本质上是一种协议,可以在不共享用户用户名和密码的前提下,实现将授权从应用程序另一个应用程序。如图所示:咱们可以使用QQ或者微信直接登录京东APP,而无需在京东重新注册用户。相当于,用户可以在一个平台上登录,获得授权后,也可在另一平台上执行操作和查看数据。使用最为广泛的场景是SSO(单点登录)。
前端高频面试题——有做过权限相关的事情吗?
m0_67841039的博客
08-16 2148
权限部分在RBAC的权限控制基础上,实现了员工管理,权限管理,角色绑定和权限绑定等功能,让管理员用户可以通过将权限分配给角色后,角色分配用户实现权限控制,并通过动态路由和全局指令实现路由和按钮的权限控制。...
备战:C++面试知识深度解析与总结
资源摘要信息:"备战22届的C++面试八股文深度总结" C++基础知识篇: 1. C++语言特性:C++是一种静态类型、编译式、通用的编程语言,支持多范式编程,包括过程化、面向对象和泛型编程。C++语言支持函数重载、运算符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值