shiro面试题

什么是Shiro
Shiro是一个强大易用的java安全框架，提供了认证、授权、加密、会话管理、与web集成、缓存等功能，对于任何一个应用程序，都可以提供全面的安全服务，相比其他安全框架，shiro要简单的多。

1.shiro的优点
1、 简单的身份验证，支持多种数据源
2、对角色的简单授权，支持细粒度的授权（方法）
3、支持一级缓存，以提升应用程序的性能
4、内置基于POJO的企业会话管理，适用于web及非web环境
5、非常简单的API加密
6、不跟任何框架绑定，可以独立运行

2.Shiro 架构 核心组件:
Authenticator:管理登陆登出
Autorizer:授权器赋予主体有那些权限
session Manager：shiro自己实现session管理器
session DAO：提供了session的增删改插
Cache Manager：缓冲管理器
Raelms：和数据库交互的桥梁

3.Authorization 授权
授权，也叫访问控制，即在应用中控制谁能访问哪些资源（如访问页面/编辑数据/页面操作等）。在授权中需了解的几个关键对象：主体(Subject)、资源（Resource）、权限（Permission）、角色（Role）
授权流程：
首先调用Subject.isPermitted*/hasRole接口，其会委托给SecurityManager，而SecurityManager接着会委托给Authorizer；
Authorizer是真正的授权者，如果我们调用如isPermitted(“user:view”), 其首先会通过PermissionResolver把字符串转换成相应的Permission实例；
在进行授权之前，其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限；
Authorizer会判断Realm的角色/权限是否和传入的匹配，如果有多个Realm，会委托给ModularRealmAuthorizer进行循环判断，如果匹配如isPermitted/hasRole*会返回true, 否则返回false表示授权失败。

4.Cryptography 加密
编码/解码
Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作
Base64.encodeToString(str.getBytes())编码
Base64.decodeToString(base64Encoded) 解码
散列算法
常见散列算法如MD5,SHA等

5.Realm 域
定义Realm（自定义Realm继承AuthorizingRealm即可）
(1).UserRealm父类AuthorizingRealm将获取Subject相关信息分成两步：获取身份验证信息（doGetAuthenticationInfo）及授权信息（doGetAuthorizationInfo）
(2).doGetAuthenticationInfo获取身份验证相关信息：首先根据传入的用户名获取User信息；如果user为空，那么抛出没找到账号异常UnknownAccountExecption；如果user找到但却被锁定了抛出锁定异常LockedAccountException；最后生成AuthenticationInfo信息，交给间接父类AuthenticatingRealm使用CredentialsMatcher进行判断密码是否匹配，如果不匹配将抛出密码错误异常信息IncorrectCredentialsException；如果密码重试次数太多将抛出超出重试次数异常ExcessiveAttemptsException；在组装SimpleAuthenticationInfo信息时，需要传入：身份信息（用户名）、凭据（密文密码）、盐（username+salt），CredentialsMatcher使用盐加密传入的明文密码和此处的密文密码进行匹配。
(3).doGetAuthorizationInfo获取授权信息：PrincipalCollection是一个身份集合，因为只用到了一个Realm，所以直接调用getPrimaryPrincipal得到之前传入的用户名即可；然后根据用户名调用UserService接口获取角色及权限信息。
AuthenticationInfo的两个作用
(1).如果Realm是AuthenticatingRealm子类，则提供给AuthenticatingRealm内部使用的CredentialsMatcher进行凭据验证；（如果没有继承它需要在自己的(2).Realm中实现验证）；
提供给SecurityManager来创建Subject（提供身份信息）；

6.Shiro的核心概念Subject、SecurityManager、Realm
        Subject：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如爬虫、机器人等；即一个抽象概念；所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者。
        SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且它管理着所有Subject；可以看出它是shiro的核心, SecurityManager相当于spring mvc中的dispatcherServlet前端控制器。
        Realm：域，shiro从Realm获取安全数据(如用户、角色、权限)，就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource，即安全数据源。

7.shiro认证过程
创建SecurityManager -> 主体提交认证 -> SecurityManager认证 -> Authenticator认证 -> Realm验证

8.shiro 注解
1、 @RequiresAuthentication : 表示当前Subject已经通过login进行了身份验证；即 Subject.isAuthenticated() 返回 true
2、@RequiresUser : 表示当前Subject 已经身份验证或者通过记住我登录的
3、@RequiresGuest : 表示当前Subject没有身份验证或通过记住我登陆过，即是游客身份
4、@RequiresRoles(value = { “admin”, “user” }, logical = Logical.AND) : 表示当前 Subject 需要角色 admin和user
5、@RequiresPermissions(value = { “user:a”, “user:b” }, logical = Logical.OR) : 表示当前 Subject 需要权限 user:a 或 user:b

9.拦截器
基于表单登录拦截器
onPreHandle主要流程：
首先判断是否已经登录过了，如果已经登录过了继续拦截器链即可；
如果没有登录，看看是否是登录请求，如果是get方法的登录页面请求，则继续拦截器链（到请求页面），否则如果是get方法的其他页面请求则保存当前请求并重定向到登录页面；
如果是post方法的登录页面表单提交请求，则收集用户名/密码登录即可，如果失败了保存错误消息到“shiroLoginFailure”并返回到登录页面；
如果登录成功了，且之前有保存的请求，则重定向到之前的这个请求，否则到默认的成功页面。
任意角色授权拦截器流程：

首先判断用户有没有任意角色，如果没有返回false，将到onAccessDenied进行处理；
如果用户没有角色，接着判断用户有没有登录，如果没有登录先重定向到登录；
如果用户没有角色且设置了未授权页面（unauthorizedUrl），那么重定向到未授权页面；否则直接返回401未授权错误码。
默认拦截器
身份验证相关的
authc 基于表单的拦截器，即验证成功之后才能访问 /=authc
authcBasic Basic HTTP身份验证拦截器，主要属性：applicationName
logout 退出 /logout=logout
user 用户拦截器 /=user
anon 匿名拦截器，一般用于静态资源过滤 /static/=anon
授权相关的
roles 角色授权拦截器，主要属性：loginUrl，unauthorizedUrl /admin/=roles[admin]
perms 权限授权拦截器 /user/**=perms[“user:create”]
port 端口拦截器，主要属性: port(80) /test=port[80]
rest rest风格拦截器 /users=rest[user]，会自动拼接出“user:read,user:create,user:update,user:delete”
ssl ssl拦截器，只有请求协议是https才能通过

10.Jsp标签
导入标签库：
<%@taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %>
shiro:guest标签 匿名访问，即游客访问信息
shiro:user标签 用户已经身份验证/记住我登录后显示相应的信息
shiro:authenticated 用户已经身份验证通过，即Subject.login登录成功，不是记住我login
shiro:notAuthenticated 未身份验证（包括记住我）
shiro:principal/ 显示用户身份信息，默认调用Subject.getPrincipal()获取
<shiro:principal type=“java.lang.String”/>
相当于 Subject.getPrincipals().oneByType(String.class)。
<shiro:principal type=“java.lang.String”/>
相当于 Subject.getPrincipals().oneByType(String.class)。
<shiro:principal property=“username”/>
相当于 ((User)Subject.getPrincipals()).getUsername()。
<shiro:hasRole name=”admin”></shiro:hasRole> 当前用户拥有admin角色
<shiro:hasAnyRoles name=”admin,user”> 当前用户拥有admin/user角色
<shiro:lacksRole name=”abc”></shiro:lacksRole> 当前用户没有abc角色
<shiro:hasPermission name=”user:create”> 当前用户拥有权限user:create
<shiro:lacksPermission name=”org:create” 当前用户没有权限org:create
导入自定义标签：
<%@taglib prefix=“zhang” tagdir="/WEB-INF/tags" %>
<zhang:hasAllRoles name=“admin,user”> 用户[shiro:principal/]拥有角色admin和user
</zhang:hasAllRoles>
<zhang:hasAllPermissions name=“user:create,user:update”> 用户[shiro:principal/]拥有权限user:create和user:update
</zhang:hasAllPermissions> <zhang:hasAnyPermissions name=“user:create,abc:update”> 用户[shiro:principal/]拥有权限user:create或abc:update
</zhang:hasAnyPermissions>