在阿里中间件开源、自研、商业三位⼀体的战略中，微服务 DNS（Dubbo+Nacos+Spring-cloud- alibba/Sentinel/Seata）组合始终走在前列，引领着微服务领域的发展趋势。Nacos 作为核心引擎 孵化于 2008 年的阿里五彩石项目，自主研发完全可控，经历十多年双 11 洪峰考验，沉淀了高性能、 高可用、可扩展的核心能力，2018 年开源后引起了开发者的广泛关注和大量使用。本书也将介绍 制的目的。不同的是关联 的方法，相同的都是抽象好 Nacos 的 Resource 和 Opers 。鉴权模块可以抽象可插拔，实现两种 都可以支持。 Nacos 架构 < 104 账号实体映射 实体 阿里云账号 阿里内 Dauth 开源 公司 公司账号 ⼀个 admin 账号 业务域（BU， 产品线） 用户组 CMDB 打通做 封网 APP（程序和 负责人） 子账号（程序账号和人账号） 账号权限组成 rbac 账号体系由 账号 角色 权限，三元组构成，下面介绍该体系模型下，nacos 权限模型的最佳 实践。 角色 首先从角色讲起，以便把账号，权限做⼀个大致的区分。 角色 实体映射 ⽤途 权限 SystemRole 系统运维工程师 运维 日常运维 查看系统 metrics 监控，处理报警 创建 AdminRole 的用户，或者提供开通 AdminRole 角色用户机制

Machine, JVM） Java 虚拟机的架构如图6.1所示。 类装载子系统 Class文件 Class文件 Class文件 方法区 Java堆 Java栈 程序计数器 本地方法栈 执行引擎 本地接口 通过全限定名装载 操作系统 操作系统本地库 运行时数据区 图 6.1 Java 虚拟机架构 • Java 程序运行在 JVM 上，JVM 是程序与操作系统之间的桥梁。 • JVM 也就是所在进 程的内存空间）。一个标准的线程由线程 ID、当前指令指针（PC）、寄存器和堆栈组成。 而进程由内存空间（代码、数据、进程空间、打开的文件）和一个或多个线程组成。 线程是进程的一个实体，是 CPU 调度和分派的基本单位，它是比进程更小的能独 立运行的基本单位。线程自己只拥有一点在运行中必不可少的资源（如程序计数器，一 组寄存器和栈），但是它可与同属一个进程的其他的线程共享进程所拥有的全部资源。 容器（EJB Container）用于管理企业级 JavaBean 对象的生命周期和方法调 用。Java EE 规范定义了 3 种运行在 EJB 容器内的组件：会话 EJB、消息驱动 EJB 和实体 EJB，分别完成不同领域的业务处理。 • EJB 容器运行在符合 Java EE 的应用服务器内，驻留在服务器端。 • 其他组件通过 RMI/IIOP 协议与 EJB 容器通信，通过 EJB 容器来访问

Authrizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制 着用户能访问应用中的哪些功能； Realm：可以有 1 个或多个 Realm，可以认为是安全实体数据源，即用于获取安全实体的； 可以是 JDBC 实现，也可以是 LDAP 实现，或者内存实现等等；由用户提供；注意：Shiro 跟我学 Shiro——http://jinnianshilongnian 1、定义实体及关系 * * * * 即用户-角色之间是多对多关系，角色-权限之间是多对多关系；且用户和权限之间通过角 色建立关系；在系统中验证时通过权限验证，角色只是权限集合，即所谓的显示角色；其 实权限应该对应到资源（如菜单、URL、页面按钮、Java 方法等）中，即应该将权限字符 串存储到资源实体中，但 串存储到资源实体中，但是目前为了简单化，直接提取一个权限表，【综合示例】部分会 使用完整的表结构。 用户实体包括：编号(id)、用户名(username)、密码(password)、盐(salt)、是否锁定(locked)； 是否锁定用于封禁用户使用，其实最好使用 Enum 字段存储，可以实现更复杂的用户状态 实现。 角色实体包括：、编号(id)、角色标识符（role）、描述（description）、是否可用（available）；

Architecture 详细架构 下面的图表展示了 Shiro 的核心架构思想，下面有简单的解释。 Subject (org.apache.shiro.subject.Subject) 正在与软件交互的一个特定的实体“view”（用户、第三方服务、时钟守护任务等）。 Apache Shiro 1.2.x Reference Manual 中文翻译 20 3. Architecture 架构 SecurityManager 源类型），在 Shiro 中，你可以精确定义指令到你所能 细化到的程度。 我们在 Shiro 的 Permissions 文档中详细讨论权限粒度和权限指令的“级别”。 Roles 角色是一个实体名，代表一组行为或职责，这些行为在程序中转换为你可以或者不能做的事 情。角色通常赋给用户帐号，关联后，用户就可以“做”属于不同角色的事情。 有两种有效的角色指定方式，Shiro 都支持。 权限 Manager 是一个 缓存管理器 实现适合单个jvm 生产环境。 这不是 集中/分布式,所以,如果你的应用程序跨越多个 JVM(例如 web 应用程序运行在多个 web 服务 器),你想要缓存实体跨 JVM 访问,您将需要使用一个分布式缓存实现。 MemoryConstrainedCacheManager 管理 MapCache 情况下,一个 MapCache 每个命名的缓 存实例。 每一个

好了，到现在为止，我们已经有了一个登录用户。我们还能做些什么？ 比方说，他们是是谁： 我们也可以测试他们是否有特定的角色： 我们还可以判断他们是否有权限在一个确定类型的实体上进行操作： 当然，我们可以执行极其强大的实例级权限检查——判断用户是否有能力访问某一类型的特定实例的能力： 小菜一碟，对吧？ 最后，当用户完成了对应用程序的使用，他们可以注销： 下图展示了 Shiro 的核心架构概念，紧跟其后的是每个的简短总结：  Subject(org.apache.shiro.subject.Subject) 当前与软件进行交互的实体（用户，第三方服务，cron job，等等）的安全特定“视图”。  SecurityManager(org.apache.shiro.mgt.SecurityManager) 如上所述，SecurityManager Shiro，你有能力来定义这些声明能够达到的精确粒度。 我们将在 Shiro 的 Permission 文档中更加详细地讨论权限粒度和许可声明的“等级”。 角色 角色是一个命名的实体，通常代表一组行为或职责。这些行为演化为你在一个软件应用中能或者不能做的事情。角 色通常是分配给用户帐户的，因此，通过分配，用户能够“做”的事情可以归属于各种角色。 有两种有效类型的角色，并且 Shiro

1. 对请求处理方法使用 void 返回类型，并在方法中添加 HttpServle- tResponse 参数。 2. 将响应的内容类型设为文件的内容类型。Content-Type 标题 在某个实体的 body 中定义数据的类型，并包含媒体类型和 子类型标识符。如果不清楚内容类型，并且希望浏览器始终 显示 Sava As（另存为）对话框，则将它设为 APPLICATION/ OCTET-STREAM。

EJB 容器（EJB Container）用于管理企业级 JavaBean 对 象的生命周期和方法调用。Java EE 规范定义了 3 种运行在 EJB 容器内的组件：�� EJB、�息�动 EJB 和实体 EJB，分别完成不同领域的业务处理。 ▶ EJB 容器运行在符合 Java EE 的应用服务器内，驻留在服 务器端。 ▶ 其他组件通过 RMI/IIOP 协议与 EJB 容器通信，通过 EJB

（Reflection），可以于运行时加载、探知、使用编译期间完 全未知的类。换句话说，Java 程序可以加载一个运行时才 得知名称的类，获悉其完整构造（但不包括 methods 定义）， 并生成其对象实体、或对其 fields 设值、或唤起调用其 methods。 大纲 反射 类的加载、连接和初始化 类加载器 使用反射生成并操作对象 本节习题 反射机制 ▶ 反射机制是 Java 语言在运行时所拥有的一项自观能力。通

进程是一个具有一定独立功能的程序在一个数据集上的一次 动态执行的过程，是操作系统进行资源分配和调度的一个独 立单位，是应用程序运行的载体。 (展示类 UNIX 系统的进程树) ▶ 进程一般由程序段、数据段和进程控制块三部分构成进程 实体。 大纲 线程基础 线程控制 线程的同步 相关知识回顾 什么是线程 根据多任务原理，在一个程序内部也可以实现多个任务（顺序控 制流）的并发执行，其中每个任务被称为线程（Thread）。更专 业的表述为：

Servlet 示例 Servlet 的运行过程 1. 用户在浏览器请求 ServletURL 地址。 2. Web 容器接收到请求，检查是 Servlet 请求，将处理交给 Servlet 引擎。 3. Servlet 引擎根据 URL 地址检查是否有 Servlet 映射，如果 没有则返回错误信息给浏览器。 4. 有 servlet 映射时，先检查是否有实例在运行。 5. 如果没有实例运行，则创建 Servlet Servlet 示例 Servlet 的运行过程 1. 用户在浏览器请求 ServletURL 地址。 2. Web 容器接收到请求，检查是 Servlet 请求，将处理交给 Servlet 引擎。 3. Servlet 引擎根据 URL 地址检查是否有 Servlet 映射，如果 没有则返回错误信息给浏览器。 4. 有 servlet 映射时，先检查是否有实例在运行。 5. 如果没有实例运行，则创建 Servlet Servlet 示例 Servlet 的运行过程 1. 用户在浏览器请求 ServletURL 地址。 2. Web 容器接收到请求，检查是 Servlet 请求，将处理交给 Servlet 引擎。 3. Servlet 引擎根据 URL 地址检查是否有 Servlet 映射，如果 没有则返回错误信息给浏览器。 4. 有 servlet 映射时，先检查是否有实例在运行。 5. 如果没有实例运行，则创建 Servlet