1.Apache Shiro的三大核心組件：

• Subject：當(dāng)前用戶的操作(所有的Subject實(shí)例都被綁定到一個(gè)SecurityManager上)
• SecurityManager：用于管理所有的Subject(Shiro架構(gòu)的心臟，用來(lái)協(xié)調(diào)內(nèi)部各安全組件，管理內(nèi)部組件實(shí)例，并通過(guò)它來(lái)提供安全管理的各種服務(wù))
• Realms：用于進(jìn)行權(quán)限信息的驗(yàn)證(本質(zhì)上是一個(gè)特定的DAO，必須指定至少一個(gè)Realm用來(lái)進(jìn)行身份驗(yàn)證和授權(quán) )

Authentication和Authorization：

在Shiro的用戶權(quán)限認(rèn)證過(guò)程中其通過(guò)兩個(gè)方法來(lái)實(shí)現(xiàn)：

• Authentication：是驗(yàn)證用戶身份的過(guò)程
• Authorization：是授權(quán)訪問(wèn)控制，用于對(duì)用戶進(jìn)行的操作進(jìn)行認(rèn)證授權(quán)，證明該用戶是否允許進(jìn)行當(dāng)前操作，如訪問(wèn)某個(gè)鏈接，某個(gè)資源文件等。

其他組件：

除了上述幾個(gè)組件外：Shiro還有幾個(gè)組件：

• SessionManager：Shiro為任何應(yīng)用提供了一個(gè)會(huì)話編程范式。
• CacheManager：對(duì)Shiro的其他組件提供緩存支持。

2.Shiro的優(yōu)點(diǎn)：

1. 簡(jiǎn)單你的身份認(rèn)證，支持多種數(shù)據(jù)源
2. 非常簡(jiǎn)單的加密API
3. 對(duì)角色的簡(jiǎn)單的授權(quán)，支持細(xì)粒度的授權(quán)(方法級(jí))
4. 支持一級(jí)緩存，以提升應(yīng)用程序的性能
5. 內(nèi)置的基于POJO企業(yè)會(huì)話管理，適用于Web以及非Web的環(huán)境
6. 不跟任何的框架或者容器捆綁，可以獨(dú)立運(yùn)行

3.比較Spring Security和Apache Shiro：

• 相比Spring Security，Shiro在保持強(qiáng)大功能的同時(shí)，使用簡(jiǎn)單性和靈活性
• Spring Security：即便是一個(gè)一個(gè)簡(jiǎn)單的請(qǐng)求，最少得經(jīng)過(guò)它的8個(gè)Filter
• Spring Security必須在Spring的環(huán)境下使用
• 初學(xué)Spring Security，曲線還是較大，需要深入學(xué)習(xí)其源碼呵呵框架，配置起來(lái)也較費(fèi)力

4.Shiro如何自實(shí)現(xiàn)認(rèn)證：

Shiro的認(rèn)證過(guò)程由Realm執(zhí)行，SecurityManager會(huì)調(diào)用Realm包下的getAuthenticationInfo(AuthenticationToken token)方法。

實(shí)際開(kāi)發(fā)中，通常提供org.apache.shiro.realm.AuthenticatingRealm 的實(shí)現(xiàn)類，并在該實(shí)現(xiàn)類中提供doGetAuthenticationInfo(AuthenticationToken token)方法的具體實(shí)現(xiàn)。

5.Shiro如何實(shí)現(xiàn)自實(shí)現(xiàn)授權(quán)：

實(shí)際開(kāi)發(fā)中，通常提供org.apache.shiro.realm.AuthenticatingRealm 的實(shí)現(xiàn)類，并提供doGetAuthorizationInfo(PrincipalCollection principals)方法的具體實(shí)現(xiàn)。

配置ShiroConfig

創(chuàng)建一個(gè)方法并給注解@Bean將其交給Spring進(jìn)行管理，返回類型為ShiroFilterFactoryBean類型 參數(shù)為SecurityManager securityManager

在方法中new ShiroFilterFactoryBean()，運(yùn)用setSecurityManager()把securityManager傳進(jìn)去進(jìn)行設(shè)置

運(yùn)用setLoginUrl讓用戶在訪問(wèn)某個(gè)接口需要登錄時(shí)跳轉(zhuǎn)頁(yè)面，運(yùn)用setUnauthorizedUrl讓用戶登錄后沒(méi)有權(quán)限時(shí)跳轉(zhuǎn)頁(yè)面

new LinkedHashMap<>();把相關(guān)路徑所需的權(quán)限進(jìn)行設(shè)置，之后把其交給setFilterChainDefinitionMap()中。

創(chuàng)建一個(gè)方法并給注解@Bean將其交給Spring進(jìn)行管理，返回類型為SecurityManager類型的securityManager()方法，new DefaultWebSecurityManager();

因其securityManager可以管理各種組件，所以可以綁定各種自定義的組件，設(shè)置綁定realm推薦放到最后，不然某些情況下不生效。

6.Shiro有哪些組件：

Authentication：身份認(rèn)證/登錄，驗(yàn)證用戶是不是擁有相應(yīng)的身份。

Authorization：授權(quán)，即權(quán)限驗(yàn)證，驗(yàn)證某個(gè)已認(rèn)證的用戶是否擁有某個(gè)權(quán)限

Session Manager：會(huì)話管理，即用戶登錄后就是一次會(huì)話，在沒(méi)有退出之前，它的所有信息都在會(huì)話中;會(huì)話可以是普通JavaSE環(huán)境的，也可以是如Web環(huán)境的;

Crypotgraphy：加密，保護(hù)數(shù)據(jù)的安全行，如密碼加密存儲(chǔ)到數(shù)據(jù)庫(kù)，而不是明文存儲(chǔ);

Web Support：Web支持，可以非常容易的集成到Web環(huán)境。

Remember me：記住我，這是一個(gè)非常常見(jiàn)的功能，即一次登錄后，下次再來(lái)的話不用登錄了。

以上就是“快問(wèn)快答之shiro框架面試題”，你能回答上來(lái)嗎?如果想要了解更多的Java面試題相關(guān)內(nèi)容，可以關(guān)注動(dòng)力節(jié)點(diǎn)Java官網(wǎng)。