一个主体可以有多个 principals，但只有一个 Primary principals，一般是用户名/密码/手机号。 credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等。 最常见的 principals 和 credentials 组合就是用户名/密码了。接下来先进行一个基本的身份认 证。 另外两个相关的概念是之前提到的 Subject 及 Realm，分别是主体及验证主体的数据源。 com/ 117 第十四章 SSL 对于 SSL 的支持，Shiro 只是判断当前 url 是否需要 SSL 登录，如果需要自动重定向到 https 进行访问。 首先生成数字证书，生成证书到 D:\localhost.keystore 使 用 JDK 的 keytool 命 令 ， 生 成 证 书 （ 包 含 证 书 / 公 钥 / 私 钥 ） 到 D:\localhost.keystore： 是否正确 ? [否]: y 输入 的密钥口令 (如果和密钥库口令相同, 按回车): 再次输入新口令: 通过如上步骤，生成证书到 D:\ localhost.keystore； 然后设置 tomcat 下的 server.xml 此处使用了 apache-tomcat-7.0.40 版本，打开 conf/server

if ( !currentUser.isAuthenticated() ) { //收集用户的主要信息和凭据，来自GUI中的特定的方式 //如包含用户名/密码的HTML表格，X509证书，OpenID，等。 //我们将使用用户名/密码的例子因为它是最常见的。. UsernamePasswordToken token = new UsernamePasswordToken("lonestarr" 程序中经常会是一个用户名、邮件地址或者全局唯一的用户 ID。 Credentials(证明) 通常是只有 Subject 知道的机密内容，用来证明他们真正拥有所需的 身份，一些简单的证书例子如密码、指纹、眼底扫描和X.509证书等。 最常见的身份/证明是用户名和密码，用户名是所需的身份说明，密码是证明身份的证据。如 果一个提交的密码和系统要求的一致，程序就认为该用户身份正确，因为其他人不应该知道 同样的密码。 Principals(s)被一同提交，来验证 user/Subject 所提交的确实是所关联 的用户。证书通常是非常秘密的东西，只有特定的 user/Subject 才知道，如密码或 PGP 密钥或生物属性或类似的机制。 这个想法是为 principal 设置的，只有一个人会知道正确 的证书来“匹配”该 principal。如果当前 user/Subject 提供了正确的凭证匹配了存储在系统

Subject 知道的秘密值，它用来作为一种起支持作用的证据，此证据事实上 包含着所谓的身份证明。一些常见 credentials(凭证)的例子有密码，生物特征数据如指纹和视网膜扫描， 以及 X.509 证书。 principal/credential 配对最常见的例子是用户名和密码。用户名是所声称的身份，密码是匹配所声称的身份的 证明。如果提交的密码与应用程序期望的相匹配，应用程序可以很大程度上假设用户真的是他们说的他们是 Principals(s)被一 同提交，来验证 user/Subject 所提交的确实是所关联的用户。证书通常是非常秘密的东西，只有特定的 user/Subject 才知道，如密码或 PGP 密钥或生物属性或类似的机制。 这个想法是为 principal 设置的，只有一个人会知道正确的证书来“匹配”该 principal。如果当前 user/Subject 提供了正确的凭证匹配了存储在系统中的，那么系统可以假定并信任当前

登录目前大部分都是 https，nacos 默认不支持 https，如果需要使用 https 功能，在 nacos 前 面配置 nginx，nginx 上做 443 端口转后端 8848 端口，nginx 上管理证书。 ​ 117 > Nacos 架构 Nacos 前端设计 Nacos 前端设计 背景 我们需要提供⼀个简单控制台提升易用性，并且可以得到开发者的共建。前端框架上选择目前比较 流行的 react 全的访问外部服务。  核心控制面 Istio 负责对所有数据面的代理服务 （包括 Ingress、Egress 网关）下发服务发现 信息，流量治理配置，以及用于服务之间进行双向认证的 TLS 证书。 可以看出 Istiod 是微服务领域的集大成者，覆盖了服务发现、服务治理、认证鉴权和可观测，以无 侵入的方式为微服务体系架构的业务提出了云原生时代下新的解决方案。 Nacos 生态 < 158 Nacos，其流量从 Tengine 进入，经过微服务网关，然后再进入 微服务体系。 之所以分为两层网关，是因为第⼀层 Tegine 是负责流量的接入，核心具备的能力是抗大流量、安 全防护和支持 https 证书，追求的是通用性、稳定性和高性能。第二层是微服务网关，这层网关侧 重的是认证鉴权、服务治理、协议转换、动态路由等微服务相关的能力，比如开源的 spring cloud gateway，zuul 等都属于微服务网关。