在 Java 中，權限的認證和授權是非常重要的話題。在面試中，經常會涉及到此方面的問題。以下是一些常見的關于 Java 權限認證和授權的面試題。

問題1：什么是權限認證和授權？

權限認證是指驗證用戶是否具有進行某項操作的身份和權限，常見的身份驗證方式有用戶名和密碼、證書等方式。而權限授權則是指針對通過認證的用戶授予合適的權限，以保證用戶只能訪問其應該被訪問的資源。

問題2：Java 中用于權限認證和授權的技術有哪些？

Java 中主要用到的權限認證技術包括：
1. Basic 認證：基本認證利用 Base64 對用戶名和密碼進行編碼，將編碼后的結果放到 HTTP 請求中的頭部，以驗證用戶身份。
2. Digest 認證：摘要認證也是 HTTP 基本認證的一種變體。客戶端給服務器發送的口令被加密處理，服務器不能將口令直接比對，只能比對加密后的結果。
3. HTTPS 認證：HTTPS 認證是使用 SSL/TLS 協議來建立安全加密的鏈接。我們可以將服務器的公鑰放到客戶端，此時客戶端就可以使用該公鑰來驗證服務器的身份。
Java 中用于權限授權的技術包括：
1. Shiro：Shiro 是 Apache 開源的 Java 安全框架，提供了認證、授權、密碼加密、會話管理等功能。
2. Spring Security：Spring Security 是 Spring 框架的一部分，提供了一種基于表達式的授權機制，能夠進行靈活的授權管理。
3. JAAS：JAAS（Java Authentication and Authorization Service） 是 Java 提供的安全架構。JAAS 支持多種認證方式，包括用戶名密碼、證書等認證方式。

問題3：在 Java 中如何進行授權？

Java 中的授權機制可以通過以下兩種方式來實現： 
1. 基于角色的授權：基于角色的授權是指用戶的操作權限是由角色來確定的。當用戶被授予了某個角色之后，該用戶就可以訪問和該角色相關的資源。
2. 基于資源的授權：基于資源的授權是指用戶的操作權限是由所訪問的資源來確定的。我們需要為每個資源定義相應的權限，并將這些權限與用戶進行綁定。

問題4：什么是 RBAC（基于角色的權限控制）？

基于角色的權限控制（RBAC）是一種訪問控制模型，它將權限控制建立在角色上。RBAC 的主要思想是將角色授予給用戶，而不是直接將權限授予給用戶。這種方式可以簡化權限管理，同時也可以提高系統的安全性，因為角色代表著一組權限，而用戶通過角色來獲得這些權限，可以有效地降低權限的泄漏風險。