ZooKeeper系列(五)—— ACL 权限控制
1、前言
为了不存储在 Zookeeper 上的数据被其余程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才能够对节点进行增删改查等操做。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。java
2、使用Shell进行权限管理
2.1 设置与查看权限
想要给某个节点设置权限 (ACL),有如下两个可选的命令:node
# 1.给已有节点赋予权限 setAcl path acl # 2.在建立节点时候指定权限 create [-s] [-e] path data acl
查看指定节点的权限命令以下:git
getAcl path
2.2 权限组成
Zookeeper 的权限由[scheme : id :permissions]三部分组成,其中 Schemes 和 Permissions 内置的可选项分别以下:github
Permissions 可选项:shell
- CREATE:容许建立子节点;
- READ:容许从节点获取数据并列出其子节点;
- WRITE:容许为节点设置数据;
- DELETE:容许删除子节点;
- ADMIN:容许为节点设置权限。
Schemes 可选项:apache
- world:默认模式,全部客户端都拥有指定的权限。world 下只有一个 id 选项,就是 anyone,一般组合写法为
world:anyone:[permissons]; - auth:只有通过认证的用户才拥有指定的权限。一般组合写法为
auth:user:password:[permissons],使用这种模式时,你须要先进行登陆,以后采用 auth 模式设置权限时,user和password都将使用登陆的用户名和密码; - digest:只有通过认证的用户才拥有指定的权限。一般组合写法为
auth:user:BASE64(SHA1(password)):[permissons],这种形式下的密码必须经过 SHA1 和 BASE64 进行双重加密; - ip:限制只有特定 IP 的客户端才拥有指定的权限。一般组成写法为
ip:182.168.0.168:[permissions]; - super:表明超级管理员,拥有全部的权限,须要修改 Zookeeper 启动脚本进行配置。
2.3 添加认证信息
能够使用以下所示的命令为当前 Session 添加用户认证信息,等价于登陆操做。session
# 格式 addauth scheme auth #示例:添加用户名为heibai,密码为root的用户认证信息 addauth digest heibai:root
2.4 权限设置示例
1. world模式
world 是一种默认的模式,即建立时若是不指定权限,则默认的权限就是 world。ide
[zk: localhost:2181(CONNECTED) 32] create /hadoop 123 Created /hadoop [zk: localhost:2181(CONNECTED) 33] getAcl /hadoop 'world,'anyone #默认的权限 : cdrwa [zk: localhost:2181(CONNECTED) 34] setAcl /hadoop world:anyone:cwda # 修改节点,不容许全部客户端读 .... [zk: localhost:2181(CONNECTED) 35] get /hadoop Authentication is not valid : /hadoop # 权限不足
2. auth模式
[zk: localhost:2181(CONNECTED) 36] addauth digest heibai:heibai # 登陆 [zk: localhost:2181(CONNECTED) 37] setAcl /hadoop auth::cdrwa # 设置权限 [zk: localhost:2181(CONNECTED) 38] getAcl /hadoop # 获取权限 'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= #用户名和密码 (密码通过加密处理),注意返回的权限类型是 digest : cdrwa #用户名和密码都是使用登陆的用户名和密码,即便你在建立权限时候进行指定也是无效的 [zk: localhost:2181(CONNECTED) 39] setAcl /hadoop auth:root:root:cdrwa #指定用户名和密码为 root [zk: localhost:2181(CONNECTED) 40] getAcl /hadoop 'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= #无效,使用的用户名和密码依然仍是 heibai : cdrwa
3. digest模式
[zk:44] create /spark "spark" digest:heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=:cdrwa #指定用户名和加密后的密码 [zk:45] getAcl /spark #获取权限 'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s= # 返回的权限类型是 digest : cdrwa
到这里你能够发现使用 auth 模式设置的权限和使用 digest 模式设置的权限,在最终结果上,获得的权限模式都是 digest。某种程度上,你能够把 auth 模式理解成是 digest 模式的一种简便实现。由于在 digest 模式下,每次设置都须要书写用户名和加密后的密码,这是比较繁琐的,采用 auth 模式就能够避免这种麻烦。oop
4. ip模式
限定只有特定的 ip 才能访问。单元测试
[zk: localhost:2181(CONNECTED) 46] create /hive "hive" ip:192.168.0.108:cdrwa [zk: localhost:2181(CONNECTED) 47] get /hive Authentication is not valid : /hive # 当前主机已经不能访问
这里能够看到当前主机已经不能访问,想要可以再次访问,能够使用对应 IP 的客户端,或使用下面介绍的 super 模式。
5. super模式
须要修改启动脚本 zkServer.sh,并在指定位置添加超级管理员帐户和密码信息:
"-Dzookeeper.DigestAuthenticationProvider.superDigest=heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s="
修改完成后须要使用 zkServer.sh restart 重启服务,此时再次访问限制 IP 的节点:
[zk: localhost:2181(CONNECTED) 0] get /hive #访问受限 Authentication is not valid : /hive [zk: localhost:2181(CONNECTED) 1] addauth digest heibai:heibai # 登陆 (添加认证信息) [zk: localhost:2181(CONNECTED) 2] get /hive #成功访问 hive cZxid = 0x158 ctime = Sat May 25 09:11:29 CST 2019 mZxid = 0x158 mtime = Sat May 25 09:11:29 CST 2019 pZxid = 0x158 cversion = 0 dataVersion = 0 aclVersion = 0 ephemeralOwner = 0x0 dataLength = 4 numChildren = 0
3、使用Java客户端进行权限管理
3.1 主要依赖
这里以 Apache Curator 为例,使用前须要导入相关依赖,完整依赖以下:
<dependencies>
<!--Apache Curator 相关依赖-->
<dependency>
<groupId>org.apache.curator</groupId>
<artifactId>curator-framework</artifactId>
<version>4.0.0</version>
</dependency>
<dependency>
<groupId>org.apache.curator</groupId>
<artifactId>curator-recipes</artifactId>
<version>4.0.0</version>
</dependency>
<dependency>
<groupId>org.apache.zookeeper</groupId>
<artifactId>zookeeper</artifactId>
<version>3.4.13</version>
</dependency>
<!--单元测试相关依赖-->
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
</dependency>
</dependencies>
3.2 权限管理API
Apache Curator 权限设置的示例以下:
public class AclOperation {
private CuratorFramework client = null;
private static final String zkServerPath = "192.168.0.226:2181";
private static final String nodePath = "/hadoop/hdfs";
@Before
public void prepare() {
RetryPolicy retryPolicy = new RetryNTimes(3, 5000);
client = CuratorFrameworkFactory.builder()
.authorization("digest", "heibai:123456".getBytes()) //等价于 addauth 命令
.connectString(zkServerPath)
.sessionTimeoutMs(10000).retryPolicy(retryPolicy)
.namespace("workspace").build();
client.start();
}
/**
* 新建节点并赋予权限
*/
@Test
public void createNodesWithAcl() throws Exception {
List<ACL> aclList = new ArrayList<>();
// 对密码进行加密
String digest1 = DigestAuthenticationProvider.generateDigest("heibai:123456");
String digest2 = DigestAuthenticationProvider.generateDigest("ying:123456");
Id user01 = new Id("digest", digest1);
Id user02 = new Id("digest", digest2);
// 指定全部权限
aclList.add(new ACL(Perms.ALL, user01));
// 若是想要指定权限的组合,中间须要使用 | ,这里的|表明的是位运算中的 按位或
aclList.add(new ACL(Perms.DELETE | Perms.CREATE, user02));
// 建立节点
byte[] data = "abc".getBytes();
client.create().creatingParentsIfNeeded()
.withMode(CreateMode.PERSISTENT)
.withACL(aclList, true)
.forPath(nodePath, data);
}
/**
* 给已有节点设置权限,注意这会删除全部原来节点上已有的权限设置
*/
@Test
public void SetAcl() throws Exception {
String digest = DigestAuthenticationProvider.generateDigest("admin:admin");
Id user = new Id("digest", digest);
client.setACL()
.withACL(Collections.singletonList(new ACL(Perms.READ | Perms.DELETE, user)))
.forPath(nodePath);
}
/**
* 获取权限
*/
@Test
public void getAcl() throws Exception {
List<ACL> aclList = client.getACL().forPath(nodePath);
ACL acl = aclList.get(0);
System.out.println(acl.getId().getId()
+ "是否有删读权限:" + (acl.getPerms() == (Perms.READ | Perms.DELETE)));
}
@After
public void destroy() {
if (client != null) {
client.close();
}
}
}
完整源码见本仓库: https://github.com/heibaiying/BigData-Notes/tree/master/code/Zookeeper/curator
更多大数据系列文章能够参见 GitHub 开源项目: 大数据入门指南
相关文章
- 1. zookeeper的ACL权限控制
- 2. zookeeper 四 : ACL 权限控制
- 3. ZooKeeper ACL权限控制
- 4. zookeeper ACL 权限控制
- 5. kafka权限控制-Acl
- 6. ZooKeeper设置ACL权限控制
- 7. Zookeeper权限控制ACL详解
- 8. Zookeeper 权限控制 ACL介绍
- 9. zookeeper ACL权限
- 10. linux ACL权限控制
- 更多相关文章...
- • MySQL删除用户权限(REVOKE) - MySQL教程
- • Lua 流程控制 - Lua 教程
- • Docker容器实战(六) - 容器的隔离与限制
- • RxJava操作符(五)Error Handling
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. js中 charCodeAt
- 2. Android中通过ViewHelper.setTranslationY实现View移动控制(NineOldAndroids开源项目)
- 3. 【Android】日常记录:BottomNavigationView自定义样式,修改点击后图片
- 4. maya 文件检查 ui和数据分离 (一)
- 5. eclipse 修改项目的jdk版本
- 6. Android InputMethod设置
- 7. Simulink中Bus Selector出现很多? ? ?
- 8. 【Openfire笔记】启动Mac版Openfire时提示“系统偏好设置错误”
- 9. AutoPLP在偏好标签中的生产与应用
- 10. 数据库关闭的四种方式
欢迎关注本站公众号,获取更多信息
相关文章