http://waylau.gitbooks.io/apache-shiro-1-2-x-reference 点击 Read 按钮（同步更新，国 内访问速度一般） http://waylau.com/apache-shiro-1.2.x-reference/（国内访问速度快，定期更新。最后更 新于 2016-2-16） Code 源码 书中所有示例源码，移步至 https://github.com/ Shiro却不是这样子的。一个好的安全框架应该屏蔽复杂性，向外暴露简单、直观的API，来 简化开发人员实现应用程序安全所花费的时间和精力。 Shiro能做什么呢？ 验证用户身份 用户访问权限控制，比如： 判断用户是否分配了一定的安全角色。 判断用户是否被授予完成某个操作的权限 在非 web 或 EJB 容器的环境下可以任意使用Session API 可以响应认证、访问控制，或者 Session 生命周期中发生的事件 可将一个或以上用户安全数据源数据组合成一个复合的用户 "view"(视图) 支持单点登录(SSO)功能 支持提供“Remember Me”服务，获取用户关联信息而无需登录 … 等等——都集成到一个有凝聚力的易于使用的API。 Shiro 致力在所有应用环境下实现上述功能，小到命令行应用程序，大到企业应用中，而且不 需要借助第三方框架、容器、应用服务器等。当然 Shiro 的目的是尽量的融入到这样的应用环 境中去

该尽可能掩盖复杂的地方，露出一个干净而直观的 API，来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情：  验证用户来核实他们的身份  对用户执行访问控制，如：  判断用户是否被分配了一个确定的安全角色  判断用户是否被允许做某事  在任何环境下使用 Session API，即使没有 Web 或 EJB 容器。 容器。  在身份验证，访问控制期间或在会话的生命周期，对事件作出反应。  聚集一个或多个用户安全数据的数据源，并作为一个单一的复合用户“视图”。  启用单点登录（SSO）功能。  为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的 API 中。 Shiro 视图在所有应用程序环境下实现这些目标——从最 授权，会话管理和加密作为其目标。  Authentication：有时也简称为“登录”，这是一个证明用户是他们所说的他们是谁的行为。  Authorization：访问控制的过程，也就是绝对“谁”去访问“什么”。  Session Management：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。  Cryptography：通过使用加密算法保持数据安全同时易于使用。

可以非常容易的开发出足够好的应用，其不仅可以用在 JavaSE 环境，也可以用在 JavaEE 环境。Shiro 可以帮助我们完成：认证、授权、加密、会话管理、与 Web 集成、缓 存等。这不就是我们想要的嘛，而且 Shiro 的 API 也是非常简单；其基本功能点如下图所 示： Authentication：身份认证/登录，验证用户是不是拥有相应的身份； Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用 的身份进行访问； Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录 了。 记住一点，Shiro 不会去维护用户、维护权限；这些需要我们自己去设计/提供；然后通过 相应的接口注入给 Shiro 即可。 接下来我们分别从外部和内部来看看 Shiro 的架构，对于一个好的框架，从外部来看应该 具有非常简单易于使用的 API，且 API 契约明确；从内部来看的话，其应该有一个可扩展 首先，我们从外部来看 Shiro 吧，即从应用程序角度的来观察如何使用 Shiro 完成工作。如 下图： 可以看到：应用代码直接交互的对象是Subject，也就是说Shiro的对外API核心就是Subject； 其每个 API 的含义： Subject：主体，代表了当前“用户”，这个用户不一定是一个具体的人，与当前应用交互 的任何东西都是 Subject，如网络爬虫，机器人等；即一个抽象概念；所有 Subject

. . 36 4.3 访问控制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.3.1 类的访问控制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.3.2 类中成员的访问控制 . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.3.3 访问控制注意的一些问题 . . . . . . . . . . . . . . . . . . . . . . . 37 4.3.4 访问控制 protected . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.4 同名问题 . . . . . . . . . . . 112 10.1.3 对 Java 集合中只能保存引用类型的数据的说明 . . . . . . . . . . . 113 10.1.4 集合相关 API 的关系 . . . . . . . . . . . . . . . . . . . . . . . . . . 113 10.2 Collection 和 Map 接口 . . . . . .

249 叽里呱啦 Nacos 1.1.2 升级 1.4.1 最佳实践 267 服务发现最佳实践 281 Eureka 平滑迁移 Nacos 方案 281 Nacos 打通 CMDB 实现就近访问 288 跨注册中心服务同步实践 298 配置管理最佳实践 310 Nacos 限流最佳实践 310 Nacos 无缝支持 confd 配置管理 320 结语 326 结语 326 作者 尤其避免冲突），日志格式，异常码+帮 助文档。  回调机制：SDK 通知数据，通过统⼀的模式回调用户处理。接口和数据结构需要具备可扩展性。  寻址模式：解决 Server IP 直连，域名访问，Nameserver 寻址、广播等多种寻址模式，需要可 扩展。  推送通道：解决 Server 与存储、Server 间、Server 与 SDK 间高效通信问题。  容量管理：管理每个 系统打通，日志白平化，推送轨迹等能力，并且可以和计 量计费系统打通。  接入管理：相当于阿里云开通服务，分配身份、容量、权限过程。  用户管理：解决用户管理，登录，SSO 等问题。  权限管理：解决身份识别，访问控制，角色管理等问题。 Nacos 架构 < 20  审计系统：扩展接口方便与不同公司审计系统打通。  通知系统：核心数据变更，或者操作，方便通过 SMS 系统打通，通知到对应人数据变更。

会话对象 本节习题 大纲 会话基本概念 会话跟踪技术 本节习题 什么是会话 ▶ 在 Web 应用中把客户端浏览器开始请求 Web 服务器，访问 不同 Web 文档进行请求/响应，到结束访问的一系列过程称 为会话，即一次会话（Session）。 ▶ 当用户访问第一个 Java Web 组件时，Java EE Web 服务器 自动为用户创建一个会话对象。 例如，当当网进行图书浏览、购买、完成结算的全过程可能是一 协议是无状态、不 持续的协议，所以需要独立于 HTTP 协议的会话跟踪技术，用 于记录会话的状态信息。 O 什么是会话跟踪 ▶ 在一个会话内，当用户在次访问时，服务器需要能够定位是 先前访问的同一个用户。 ▶ Web 应用需要在用户访问的一个会话内，让 Web 服务器保 存客户的信息（如客户的账号或客户的购物车），称为会话 跟踪，即 Web 服务器必须使用某种技术保存客户的信息。 大纲 会话基本概念 将要保存的客户信息，如用户登录账号使用 隐藏表单字段发送到服务器端，完成 Web 服务器保持客户 状态信息。 3. Cookie 使用 Java EE API 提供的 Cookie 对象，可以将客 户信息保存在 Cookie 中，完成会话跟踪功能。 4. HttpSession 对象 Java EE API 专门提供了 HttpSession 会 话对象保存客户的信息来实现会话跟踪。 一般 3 和 4 组合使用。 大纲 会话基本概念

大纲 转换器和格式化（Converter and Formatter） 验证器 表达式语言（EL） JSTL 表达式语言 ▶ JSP2.0 最重要的特性之一就是表达式语言（EL），可以用它 来访问应用程序数据。 ▶ EL 设计成可以轻松地编写免脚本的 JSP 页面，而不需要使 用任何 JSP 声明、表达式等元素。 O EL 的语法 ${expression} ▶ 例如表达式 x+y 可以写成：$x+y，计算结果的类型为 表达式语言 O [] 和. 运算符 EL 表达式可以返回任意类型的值。如果使用 EL 表达式操作带有 属性的对象，则可以利用[] 或者.运算符来访问属性。 ▶ [] 和. 运算符类似； ▶ [] 是比较规范的形式，运算符则比较快捷。 为了访问对象的属性，可以使用以下任意一种形式： ▶ ${object["propertyName"]} ▶ ${object.propertyName} 大纲 转换器和格式化（Converter and Formatter） 验证器 表达式语言（EL） JSTL 表达式语言（示例） 访问隐式对象 HTTP host 的 EL 表达式 ▶ ${header["host"]} ▶ ${header.host} 访问 accept-language 的 EL 表达式1 ${header["accept-language"]} 1如果 propertyNarne

大纲 包 继承 访问控制 方法重写 关键字 super 关键字 this Java 应用与开发 面向对象编程进阶 PART1 王晓东 wangxiaodong@ouc.edu.cn 中国海洋大学 September 23, 2018 大纲 包 继承 访问控制 方法重写 关键字 super 关键字 this 学习目标 1. 掌握 Java 包、继承、访问控制、方法重写的概念、机制和 使用方法 和关键字 this 大纲 包 继承 访问控制 方法重写 关键字 super 关键字 this 大纲 包 继承 访问控制 方法重写 关键字 super 关键字 this 大纲 包 继承 访问控制 方法重写 关键字 super 关键字 this ���� 包 继承 访问控制 方法重写 关键字 super 关键字 this 大纲 包 继承 访问控制 方法重写 关键字 super this 什么是包？ 为便于管理大型软件系统中数目众多的类，解决类的命名冲突问 题以及进行访问控制，Java 引入包（package）机制，即将若干功 能相关的类逻辑上分组打包到一起，提供类的多重类命名空间。 大纲 包 继承 访问控制 方法重写 关键字 super 关键字 this JDK API 中的常用包 包名 功能说明 包的含义 java.lang Java 语言程序设计的基础类

���������� ������iterator��Enumeration ��������� API ������的������������ 1 28 �� 1 ������� 2 Collection � Map �� 3 �� 4 Iterator �� 5 � 6 �� 7 ���� API 2 28 ������� 集合��� O 面向存放多个数据的需求 ��用����������� �����的��¡���Key-Value������ �������的���������������  注意 Java 集合中只能保存引用类型的数据，实际上存放的是对象的引用 而非对象本身。Java API 中的集合类型均定义在 java.util 包中。 4 28 集合�� 集合�����用���������������合����� �� O 集合类型分类 � Set ��������的������������� �����的��¡���Key-Value������ �������的���������������  注意 Java 集合中只能保存引用类型的数据，实际上存放的是对象的引用 而非对象本身。Java API 中的集合类型均定义在 java.util 包中。 4 28 集合�� 集合�����用���������������合����� �� O 集合类型分类 � Set ��������的�������������

的企业级软件应用的组成部 分和各组成部分之间的交互协议。 ▶ 容器规范 ▶ 组件规范 ▶ 服务规范 Java EE 规定了连接各种外部资源的标准接口 API，简化了 连接各种不同类型外部资源的设计和编程。如 JDBC API 提供了连接数据库的标准接口；JMS API 可以连接各种外 部的消息服务系统。 ▶ 通信协议规范 ▶ 开发角色规范 大纲 软件开发现状 Java EE 概述 Java EE 容器 Web 容器 ▶ Web 容器（Web Container）运行在符合 Java EE 规范的应 用服务器上，驻留在服务器端，外部应用可以通过HTTP 和 HTTPS协议与 Web 容器通信，进而访问 Web 容器管 理的 Web 组件。 ▶ Web 容器管理 Web 组件的运行和调用。Java EE 定义了两 种 Web 组件：Servlet 和 JSP，可以产生动态 Web 内容， 结合数据�技术，用于动态 Web 容器 ▶ Web 容器（Web Container）运行在符合 Java EE 规范的应 用服务器上，驻留在服务器端，外部应用可以通过HTTP 和 HTTPS协议与 Web 容器通信，进而访问 Web 容器管 理的 Web 组件。 ▶ Web 容器管理 Web 组件的运行和调用。Java EE 定义了两 种 Web 组件：Servlet 和 JSP，可以产生动态 Web 内容， 结合数据�技术，用于动态