acl权限如何在zookeeper中进行配置?相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
Zookeeper使用ACL来控制访问Znode,ACL的实现和UNIX的实现非常相似:它采用权限位来控制那些操作被允许,那些操作被禁止。但是和标准的UNIX权限不同的是,Znode没有限制用户(user,即文件的所有者),组(group)和其他(world)。Zookeepr是没有所有者的概念的。
每个ZNode的ACL是独立的,且子节点不会继承父节点的ACL。例如:Znode /app对于ip为172.16.16.1只有只读权限,而/app/status是world可读,那么任何人都可以获取/app/status;所以在Zookeeper中权限是没有继承和传递关系的,每个Znode的权限都是独立存在的。
Zookeeper支持可插拔的权限认证方案,分为三个维度:scheme,user,permission。通常表示为scheme:id,permissions,其中Scheme表示使用何种方式来进行访问控制,Id代表用户,Permission表示有什么权限。下面分别说说这三个维度:
ZooKeeper支持如下权限(permissions):
· CREATE:可以创建子节点
· READ:可以获取该节点的数据,也可以读取该节点所有的子节点。
· WRITE:可以写数据到该节点。
· DELETE:可以删除子节点。
·ADMIN:可以在该节点中设置权限。
简单来说,zookeeper的这5种操作权限,CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)
注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限
内置的ACL Schemes:
world: 只有一个id:anyone,world:anyone表示任何人都有访问权限,Zookeeper把任何人都有权限的节点都归属于world:anyone
auth:不需要任何id, 只要是通过auth的user都有权限
digest: 使用用户名/密码的方式验证,采用username:BASE64(SHA1(password))的字符串作为ACL的ID
ip: 使用客户端的IP地址作为ACL的ID,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
sasl:sasl的对应的id,是一个通过sasl authentication用户的id,zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.
如果需要实现自己定义的Scheme,可以实现org.apache.zookeeper.server.auth.AuthenticationProvider接口。
示例:
@Testpublic void testAclServer() {List<ACL> acls = new ArrayList<ACL>(2);try {Id id1 = new Id("digest", DigestAuthenticationProvider.generateDigest("fish:fishpw"));ACL acl1 = new ACL(ZooDefs.Perms.WRITE, id1);Id id2 = new Id("digest", DigestAuthenticationProvider.generateDigest("qsd:qsdpw"));ACL acl2 = new ACL(ZooDefs.Perms.READ, id2);acls.add(acl1);acls.add(acl2);// 所有用户都有权限// Id world = new Id("world", "anyone");// ACL worldAcl = new ACL(ZooDefs.Perms.READ, world);// acls.add(worldAcl);// 10.0.2.76是本机IP// Id id3 = new Id("ip", "10.0.2.76");// ACL acl3 = new ACL(ZooDefs.Perms.WRITE, id3);// acls.add(acl3);} catch (NoSuchAlgorithmException e1) {e1.printStackTrace();}ZooKeeper zk = null;try {zk = new ZooKeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181", 300000, new Watcher() {// 监控所有被触发的事件public void process(WatchedEvent event) {System.out.println("已经触发了" + event.getType() + "事件!");}});if (zk.exists("/test", true) == null) {System.out.println(zk.create("/test", "ACL测试".getBytes(), acls, CreateMode.PERSISTENT));}} catch (IOException e) {e.printStackTrace();} catch (KeeperException e1) {e1.printStackTrace();} catch (InterruptedException e1) {e1.printStackTrace();}}@Testpublic void testAclClient() {try {ZooKeeper zk = new ZooKeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181", 300000, new Watcher() {// 监控所有被触发的事件public void process(WatchedEvent event) {System.out.println("已经触发了" + event.getType() + "事件!");}});// 只有写权限zk.addAuthInfo("digest", "fish:fishpw".getBytes());// 只有读权限zk.addAuthInfo("digest", "qsd:qsdpw".getBytes());System.out.println(new String(zk.getData("/test", null, null)));zk.setData("/test", "I change!".getBytes(), -1);} catch (KeeperException e) {e.printStackTrace();} catch (InterruptedException e) {e.printStackTrace();} catch (IOException e) {e.printStackTrace();}}
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
软考中级精品资料免费领
- 历年真题答案解析
- 备考技巧名师总结
- 高频考点精准押题
- 资料下载
- 历年真题
193.9 KB下载数265
191.63 KB下载数245
143.91 KB下载数1148
183.71 KB下载数642
644.84 KB下载数2756
相关文章
发现更多好内容- Java 中的获取绝对值操作是否能应用于数组?(java获取绝对值能否应用于数组)
- Redis客户端批量操作技巧
- Java 读取文件时导致内存溢出的原因都有哪些?(java读取文件内存溢出的原因有哪些)
- 如何通过 Java Socket 编程实现双向通信?(java socket编程如何实现双向通信)
- 如何通过 Java Rsync 提升安全性?(java rsync怎样提高安全性 )
- Java FXML 国际化如何进行操作?(java fxml国际化怎么操作)
- Java Jersey 如何实现跨域请求?(详细教程及示例代码)(java jersey如何实现跨域请求)
- Java 中如何识别 jfif 格式图片?(Java中jfif格式图片如何识别)
- 如何查看和解决 Java 内存泄露?(java内存泄露怎么查看和解决)
- Java iBATIS 的安全性如何得以保障?(java ibatis安全性如何保障)