shiro框架面试题

掌握这些面试题，轻松应对shiro面试

在java开发中，shiro框架是一个常用的安全框架，面试时也经常会被问到相关问题。下面为大家详细介绍一些常见的shiro框架面试题。

shiro框架基础概念

首先，面试官可能会问shiro是什么。shiro是一个强大且易用的java安全框架，可用于身份验证、授权、加密和会话管理。例如，在一个电商系统中，用户登录时就需要进行身份验证，shiro可以帮助我们轻松实现这一功能。另外，shiro有哪些核心组件也是常考问题。shiro的核心组件包括subject（当前操作的主体）、securitymanager（安全管理器，是shiro的核心）、realm（用于获取安全数据，如用户信息、角色和权限等）。

身份验证相关问题

身份验证是shiro的重要功能之一。面试官可能会问身份验证的流程。简单来说，用户提交身份和凭证，shiro将其封装成token，然后securitymanager调用realm进行验证。比如，用户在登录页面输入用户名和密码，这就形成了一个token，shiro会去验证这个token是否合法。如果验证失败，会抛出哪些异常呢？常见的有unknownaccountexception（未知账户异常）、incorrectcredentialsexception（凭证错误异常）等。

授权相关问题

关于授权，shiro支持哪些授权方式是常见问题。shiro支持三种授权方式，分别是编程式授权（通过代码进行权限判断）、注解式授权（使用注解来控制方法的访问权限）和jsp/gsp标签授权（在视图层使用标签进行权限控制）。例如，在一个后台管理系统中，我们可以使用注解式授权，在某些方法上添加@requirespermissions注解，只有具有相应权限的用户才能调用该方法。另外，如何进行角色和权限的管理也是重点。通常我们会在realm中实现角色和权限的查询逻辑，将用户的角色和权限信息存储在数据库中，然后在需要授权时从数据库中获取。

会话管理问题

shiro的会话管理功能也很重要。面试官可能会问shiro会话和servlet会话有什么区别。shiro会话是独立于servlet容器的，它可以在任何环境中使用，而servlet会话依赖于servlet容器。例如，在一个分布式系统中，使用shiro会话可以更方便地进行会话管理。另外，如何配置shiro的会话超时时间呢？可以在shiro的配置文件中进行配置，通过设置sessionmanager的globalsessiontimeout属性来指定会话的超时时间。

缓存管理问题

缓存管理可以提高shiro的性能。面试官可能会问shiro支持哪些缓存方式。shiro支持多种缓存方式，如ehcache、redis等。例如，在一个高并发的系统中，我们可以使用redis作为shiro的缓存，将用户的身份信息和权限信息缓存到redis中，减少数据库的访问压力。另外，如何配置shiro的缓存呢？以redis为例，需要引入redis相关的依赖，然后在shiro的配置文件中配置rediscachemanager。