shiro面試題及答案

一、單項選擇題（每題2分，共10題）

1.Shiro的默認Hash算法是什么？

A.MD5

B.SHA-1

C.SHA-256

D.SHA-512

答案：C

2.Shiro中用于處理權限的類是什么？

A.Subject

B.SecurityManager

C.Realm

D.Session

答案：B

3.Shiro中用于創建用戶的類是什么？

A.User

B.SimplePrincipalCollection

C.SimpleAccount

D.PrincipalCollection

答案：C

4.Shiro中用于創建角色的類是什么？

A.Role

B.SimpleRole

C.Permission

D.SimplePermission

答案：B

5.Shiro中用于創建權限的類是什么？

A.Permission

B.SimplePermission

C.Role

D.SimpleRole

答案：B

6.Shiro中用于創建會話的類是什么？

A.Session

B.SimpleSession

C.DefaultSession

D.SessionManager

答案：C

7.Shiro中用于創建緩存管理器的類是什么？

A.CacheManager

B.MapCacheManager

C.EhCacheManager

D.MemoryConstrainedCacheManager

答案：B

8.Shiro中用于創建加密器的類是什么？

A.Encryptor

B.SimpleEncryptor

C.Hash

D.SimpleHash

答案：D

9.Shiro中用于創建密碼匹配器的類是什么？

A.PasswordMatcher

B.HashPasswordMatcher

C.CredentialsMatcher

D.SimpleCredentialsMatcher

答案：B

10.Shiro中用于創建會話DAO的類是什么？

A.SessionDAO

B.SimpleSessionDAO

C.MemorySessionDAO

D.JdbcSessionDAO

答案：B

二、多項選擇題（每題2分，共10題）

1.Shiro支持哪些類型的認證？

A.密碼認證

B.證書認證

C.令牌認證

D.雙因素認證

答案：A,B,C

2.Shiro中哪些組件可以作為Realm？

A.AuthorizingRealm

B.AuthenticatingRealm

C.CachingRealm

D.JdbcRealm

答案：A,D

3.Shiro中哪些組件可以用于會話管理？

A.SessionManager

B.SessionDAO

C.SessionFactory

D.SessionListener

答案：A,B,C

4.Shiro中哪些組件可以用于權限管理？

A.Permission

B.Role

C.Subject

D.SimpleAuthorizingRealm

答案：A,B,C,D

5.Shiro中哪些組件可以用于加密？

A.Encryptor

B.Hash

C.SimpleHash

D.SimpleEncryptor

答案：A,B,C

6.Shiro中哪些組件可以用于緩存管理？

A.CacheManager

B.MapCacheManager

C.EhCacheManager

D.MemoryConstrainedCacheManager

答案：A,B,C,D

7.Shiro中哪些組件可以用于密碼匹配？

A.PasswordMatcher

B.HashPasswordMatcher

C.CredentialsMatcher

D.SimpleCredentialsMatcher

答案：B,D

8.Shiro中哪些組件可以用于會話存儲？

A.MemorySessionDAO

B.JdbcSessionDAO

C.EhCacheSessionDAO

D.MemoryConstrainedSessionDAO

答案：A,B,C

9.Shiro中哪些組件可以用于認證？

A.Authenticator

B.SimpleAuthenticationInfo

C.SimplePrincipalCollection

D.DefaultSubjectDAO

答案：A,B,C

10.Shiro中哪些組件可以用于授權？

A.Authorizer

B.SimpleAuthorizationInfo

C.PermissionResolver

D.RolePermissionResolver

答案：A,B,C,D

三、判斷題（每題2分，共10題）

1.Shiro是一個權限控制框架。（對）

2.Shiro只支持Java語言。（錯）

3.Shiro的Realm組件負責安全數據的CRUD操作。（錯）

4.Shiro的Subject組件代表當前用戶的安全上下文。（對）

5.Shiro的Session組件用于管理用戶的會話。（對）

6.Shiro的CacheManager組件用于緩存權限和角色信息。（對）

7.Shiro的Encryptor組件用于數據的加密和解密。（對）

8.Shiro的CredentialsMatcher組件用于匹配密碼。（對）

9.Shiro的SessionDAO組件用于會話數據的持久化。（對）

10.Shiro的Permission組件用于定義具體的權限。（對）

四、簡答題（每題5分，共4題）

1.請簡述Shiro的認證流程。

答案：

Shiro的認證流程通常包括以下幾個步驟：

1.用戶提交認證請求。

2.Subject.doAs方法被調用，開始認證過程。

3.Authenticator組件檢查認證請求。

4.如果認證請求通過，創建AuthenticationInfo對象。

5.Subject關聯AuthenticationInfo對象。

6.認證成功，用戶獲得訪問權限。

2.請簡述Shiro的授權流程。

答案：

Shiro的授權流程通常包括以下幾個步驟：

1.用戶請求訪問資源。

2.Subject.isPermitted方法被調用，開始授權過程。

3.Authorizer組件檢查用戶是否有權限。

4.如果用戶有權限，授權成功，用戶可以訪問資源。

5.如果用戶沒有權限，授權失敗，用戶無法訪問資源。

3.請簡述Shiro的會話管理機制。

答案：

Shiro的會話管理機制包括以下幾個方面：

1.SessionDAO負責會話數據的持久化。

2.SessionManager負責會話的生命周期管理。

3.SessionFactory負責創建新的會話。

4.SessionListener可以監聽會話的創建、過期等事件。

4.請簡述Shiro的加密和哈希機制。

答案：

Shiro的加密和哈希機制包括以下幾個方面：

1.Encryptor組件提供加密和解密功能。

2.Hash組件提供哈希算法的支持。

3.SimpleHash是Shiro推薦的哈希實現，支持鹽值和迭代次數。

4.Shiro支持多種加密算法，如AES、DES等。

五、討論題（每題5分，共4題）

1.討論Shiro與SpringSecurity在權限控制方面的主要區別。

答案：

Shiro與SpringSecurity都是Java領域內流行的安全框架，它們在權限控制方面的主要區別包括：

-集成方式：Shiro更輕量級，易于集成；SpringSecurity是Spring框架的一部分，與Spring生態系統集成更緊密。

-配置方式：Shiro傾向于使用Java配置，而SpringSecurity更多使用XML配置。

-性能：Shiro在性能上通常優于SpringSecurity，因為它更輕量級。

-功能：SpringSecurity提供了更多的安全特性，如OAuth2支持，而Shiro則更專注于認證和授權。

2.討論Shiro在分布式系統中的會話管理策略。

答案：

在分布式系統中，Shiro的會話管理策略可以包括：

-使用中央會話存儲，如數據庫或分布式緩存，以確保會話數據的一致性。

-實現會話復制機制，確保在多個節點間同步會話狀態。

-引入會話失效策略，如超時、踢出等，以管理分布式環境中的會話生命周期。

3.討論Shiro在處理密碼時的最佳實踐。

答案：

Shiro在處理密碼時的最佳實踐包括：

-使用強哈希算法，如SHA-256或更高。

-引入鹽值機制，增加密碼破解的難度。

-設置合理的迭代次數，提高哈希計算的復雜度。

-存儲密碼的哈希值而非明文密碼。

-定期更新密碼策略，以應對