保存成功
订阅成功
保存失败,请重试
提交成功
蓬蒿

蓬蒿

架构师
杭州信息安全院安全研发部负责人(2013 - 2016),负责Web网站安全监测服务平台( Web 漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见 Web 漏洞的基本原理与渗透方式。现担任中国互联网最大财税平台的架构师,负责业务风控、API Gateway 、分布式配置中心、分布式链路追踪日志系统等研发与设计工作,熟悉常见 Dubbo 、HSF、Spring Cloud 等分布式服务架构设计与与实现。...更多
创作文章5

基于 Netty 实现的 Gateway 遇到的问题总结

API Gateway 初期业务访问的峰值从 10万/min 上升至 12万/min,导致网关出现“too many open files”错误,即打开最大文件句柄数超过最大值。经过排查发现 Jupiter 网关出现该错误时设置的句柄数值为 65535,运维尝试将具柄数值设置为 655350。 网关服务在修改完句柄数之后重启 Java 进程,某几台网关服务在重启后具柄数值快速上升至 20 万。由于单台机器服务实例打开的句柄数过多占据了大量物理内存,导致 JVM 进程被 Linux 系统给 OOM Killer。 本场 Chat 将分享该线上问题完整的排查过程: 1. Netty 服务假死排查过程; 2. 分析并解决 Netty4 的 IO 处理线程池遇到耗时业务容易把后端的 NIO 线程挂死的问题。
GatewayNetty
146 订阅

Java 性能瓶颈分析工具

Java 性能优化分为很多个方面,如系统优化、算法优化、代码优化等。代码优化是程序员在研发、测试过程中通过性能瓶颈分析工具就能够快速定位并解决掉的。常见的一种场景是测试同学在对服务进行压测时,无论怎么增加并发应用的 TPS 一直保持在某个值,这个时候要怎么排查呢?通过学习本 Chat 就可以解决这些问题。例如,通过性能瓶颈分析工具 JProfiler、JMC、Tprofiler 等工具查看到代码调用链,看到自己的业务代码,从而定位到最耗时的代码位置。 本场Chat,我将分享: 1. 介绍 Jprofiler 的使用方法,包括内存分析、CPU 分析、线程分析等。重点利用热点方法的调用堆栈,显示分析占用的 CPU 时间、方法执行平均耗时、调用总次数。 2. JDK 自带的 JMC 工具用来监控"本地/远程"Java 应用的性能,重点分析通过 Java 飞行器记录(JRockit Flight Recorder, JFR)来排查业务性能瓶颈问题。 3. Tprofiler 是淘宝开源的线上代码性能分析工具,利用 Tpofiler 为查找系统性能问题。
Java
560 订阅

谈谈 Java 内存模型

作为一名有追求的 Java 程序猿,必须要了解 Java 内存模型(JMM)。通过学习 JMM,你能够将计算机组成原理、操作系统等各个课程有机的组织起来,无论是工作中解决实际的问题,还是以后想成为一名高级的开发工程师,都是非常有帮助的。 Java 线程之间通信一般有两种方式:共享内存和消息传递。Java 的并发采用共享内存的方式,共享内存通信方式对于程序员而言总是透明隐式进行的。Java 内存模型 JMM 解决了可见性和有序性的问题,而锁解决了原子性的问题。本场 Chat 我将分享: 1. Java 内存模型的抽象 2. JVM 指令重排序 3. happens-before 原则
严选Java
449 订阅

Java 线上问题排查思路与工具使用

作为一名 Java 程序猿,平常工作除了 coding 之外,大部分时间(70%~80%)是用来排查线上问题的。掌握 Java 服务线上问题排查思路并能够熟练排查问题常用工具/命令/平台是每一个 Java 程序猿进阶必须掌握的实战技能。线上问题从系统表象来看归结起来总共有四方面:CPU、内存、磁盘、网络。例如 CPU 使用率峰值突然飚高、内存溢出(泄露)、磁盘满了、网络流量异常、FullGC 等等问题。本场 Chat 我将分享: 1. 总结 Java 服务常见的线上问题 2. Linux 常用的性能分析工具使用以及分析:top(cpu)、free(内存)、df(磁盘)、dstat(网络流量)、pstack、vmstat、strace(底层系统调用)等 3. JVM 定位问题工具:jps(进程)、jmap(内存)、jstack(线程)等 4. JVM GC 日志分析 5. 实战案列分析 定位问题的能力要与业务场景紧密结合,提升自己解决问题的能力,事后总结每次线上遇到的疑难杂症慢慢形成自己的知识体系,这才是每个对技术有追求同学的核心竞争力。
严选Java
1277 订阅

CSRF 攻击深入浅出

CSRF(XSRF)中文名为跨站请求伪造,OWASP Top 10 常见 web 漏洞之一。与 XSS 不同的是,其攻击形式为:用户首先登录一正常网站(Normal Website),正常网站向用户浏览器响应 cookie 信息,此时用户还保持在会话连接状态未对登录状态进行注销。默认情况下,用户关闭浏览器则 cookie 信息将被清除,不过可以通过修改 Cookie 的 expires 属性来设置其有效期。然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website 会自动构造指向 Normal Website 的恶意 HTTP 请求(增删改您的重要信息)。 在实际项目开发工作中,除了一些资深开发工程师,大部分程序员对 CSRF 的认识是有很大局限性的,究其原因主要还是对其具体攻击形式与原理理解还不够深入。CSRF 攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。本场 Chat 我将分享: 1. CSRF 原理 2. CSRF 攻击方式(案列分析) 3. CSRF 防御方式(前后端分离场景下) 4. CSRF 的 Token 安全性分析 5. CSRF 与 XSS 的区别
严选CSRF
639 订阅
微信扫描登录