Zookeeper之 ACL 权限控制

于 2021-11-07 18:05:35 发布
阅读量365 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 分布式 文章标签: java zookeeper 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/study_study_know/article/details/121189191
Zookeeper的ACL权限控制确保了数据安全性,由权限模式、授权对象和权限信息三部分构成。权限模式包括范围验证(如IP地址)和口令验证(使用Digest认证)。授权对象可以是IP或用户名密码。权限信息包含读、写、创建、删除和管理等5种权限。示例展示了如何通过授权ID和明文口令创建及设置节点的ACL。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、简介

Zookeeper 的ACL 权限控制,可以控制节点的读写操作,保证数据的安全性,Zookeeper ACL 权 限设置分为 3 部分组成,分别是:权限模式(Scheme)授权对象(ID)权限信息 (Permission)。最终组成一条例如“scheme: id :permission”格式的 ACL 请求信息。

二、权限模式

用来设置 ZooKeeper 服务器进行权限验证的方式。ZooKeeper 的权限 验证方式大体分为两种类型:

1.范围验证

所谓的范围验证就是说 ZooKeeper 可以针对一个 IP 或者一段 IP 地址授予某 种权限。比如我们可以让一个 IP 地址为“ip:192.168.0.110”的机器对服务器上的某个数据节点具有写入的权限。

2.口令验证

  1. 口令验证也就是用户的凭证。在 ZooKeeper 中这种验证方式被称为 Digest 认证,而 Digest 这种认证方式首先在客户端传送“username:password”这种形式的权限表示符后,ZooKeeper 服务端会对密码 部分使用 SHA-1 和 BASE64 算法进行加密, 以保证安全性。
  2. 还有一种Super权限模式, Super可以认为是一种特殊的 Digest 认证。具有 Super 权限的客户端 可以对 ZooKeeper 上的任意数据节点进行任意操作。

三、授权对象

1.采用范围验证方式

当采用范围验证方式时,其授权对象为ip,多个ip间用逗号隔开

2.采用口令验证方式

当采用口令验证方式时,其授权对象为授权ID或者用户名密码

  1. 授权ID生成
import org.apache.commons.codec.binary.Base64;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;


public class Test {
    public static void main(String[] args) throws NoSuchAlgorithmException {
        String usernameAndPassword = "user:123456";
        byte digest[] = MessageDigest.getInstance("SHA1").digest(usernameAndPassword.getBytes());
        Base64 base64 = new Base64();
        String encodeToString = base64.encodeToString(digest);
        System.out.println(encodeToString);
        //6DY5WhzOfGsWQ1XFuIyzxkpwdPo=
    }
}

setAcl /zkPro digest:user:6DY5WhzOfGsWQ1XFuIyzxkpwdPo=:cdrwa
  1. auth明文授权
addauth digest user:123456
create /node‐1 node1data auth:user:123456:cdwra 
#这是u100用户授权信息会被zk保存,可以认为当前的授权用户为u100

四、权限信息

在 ZooKeeper 中已经定义好的 权限有 5 种:

  • 数据节点(c: create)创建权限,授予权限的对象可以在数据节点下创建子节点;
  • 数据节点(w: wirte)更新权限,授予权限的对象可以更新该数据节点;
  • 数据节点(r: read)读取权限,授予权限的对象可以读取该节点的内容以及子节点的列表信息;
  • 数据节点(d: delete)删除权限,授予权限的对象可以删除该数据节点的子节点;
  • 数据节点(a: admin)管理者权限,授予权限的对象可以对该数据节点体进行 ACL 权限设置。

五、实例

1.创建节点的时候设置ACL

  • 授权ID方式:
create /zk-node dataTest digest:user:6DY5WhzOfGsWQ1XFuIyzxkpwdPo=:cdrwa
get /zk-node
#直接访问出现下面报错
##org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /zk-node
#需要在访问前添加授权信息
addauth digest user:123456
get /zk-node
  • auth明文授权:
addauth digest root:root
create /node-auth authTest auth:root:root:cdwra
#root用户授权信息会被zk保存,可以认为当前的授权用户为root,因此可以直接查看值
  • 范围验证方式
create /node‐ip data ip:ip1:cdwra,ip:ip2:cdwra

2.设置已创建节点的ACL

  • 授权ID方式:
setAcl /zk-node digest:user:6DY5WhzOfGsWQ1XFuIyzxkpwdPo=:cdrwa
  • auth明文授权:
addauth digest root:root
setAcl /node-auth auth:root:root:cdwra
  • 范围验证方式
setAcl /node‐ip ip:ip1:cdwra,ip:ip2:cdwra
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值