Zookeeper ACL权限控制

Zookeeper使用ACL来控制访问Znode,ACL的实现和UNIX的实现非常相似:它采用权限位来控制那些操作被允许,那些操作被禁止。但是和标准的UNIX权限不同的是,Znode没有限制用户(user,即文件的所有者),组(group)和其他(world)。Zookeepr是没有所有者的概念的。

每个ZNode的ACL是独立的,且子节点不会继承父节点的ACL。例如:Znode /app对于ip为172.16.16.1只有只读权限,而/app/status是world可读,那么任何人都可以获取/app/status;所以在Zookeeper中权限是没有继承和传递关系的,每个Znode的权限都是独立存在的。

Zookeeper支持可插拔的权限认证方案,分为三个维度:scheme,user,permission。通常表示为scheme:id,permissions,其中Scheme表示使用何种方式来进行访问控制,Id代表用户,Permission表示有什么权限。下面分别说说这三个维度:

ZooKeeper支持如下权限(permissions):
    CREATE:可以创建子节点
    READ:可以获取该节点的数据,也可以读取该节点所有的子节点。
    WRITE:可以写数据到该节点。
    DELETE:可以删除子节点。
    ADMIN:可以在该节点中设置权限。


内置的ACL Schemes:

world: 只有一个id:anyone,world:anyone表示任何人都有访问权限,Zookeeper把任何人都有权限的节点都归属于world:anyone
auth:不需要任何id, 只要是通过auth的user都有权限
digest: 使用用户名/密码的方式验证,采用username:BASE64(SHA1(password))的字符串作为ACL的ID
ip
: 使用客户端的IP地址作为ACL的ID,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段
sasl:sasl的对应的id,是一个通过sasl authentication用户的id,zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.

如果需要实现自己定义的Scheme,可以实现org.apache.zookeeper.server.auth.AuthenticationProvider接口。


示例:


  
  
    
    
    
    
  1. @Test
  2. public void testAclServer() {
  3. List acls = new ArrayList( 2);
  4. try {
  5. Id id1 = new Id( “digest”, DigestAuthenticationProvider.generateDigest( “fish:fishpw”));
  6. ACL acl1 = new ACL(ZooDefs.Perms.WRITE, id1);
  7. Id id2 = new Id( “digest”, DigestAuthenticationProvider.generateDigest( “qsd:qsdpw”));
  8. ACL acl2 = new ACL(ZooDefs.Perms.READ, id2);
  9. acls.add(acl1);
  10. acls.add(acl2);
  11. // 所有用户都有权限
  12. // Id world = new Id(“world”, “anyone”);
  13. // ACL worldAcl = new ACL(ZooDefs.Perms.READ, world);
  14. // acls.add(worldAcl);
  15. // 10.0.2.76是本机IP
  16. // Id id3 = new Id(“ip”, “10.0.2.76”);
  17. // ACL acl3 = new ACL(ZooDefs.Perms.WRITE, id3);
  18. // acls.add(acl3);
  19. } catch (NoSuchAlgorithmException e1) {
  20. e1.printStackTrace();
  21. }
  22. ZooKeeper zk = null;
  23. try {
  24. zk = new ZooKeeper( “10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181”, 300000, new Watcher() {
  25. // 监控所有被触发的事件
  26. public void process(WatchedEvent event) {
  27. System.out.println( “已经触发了” + event.getType() + “事件!”);
  28. }
  29. });
  30. if (zk.exists( “/test”, true) == null) {
  31. System.out.println(zk.create( “/test”, “ACL测试”.getBytes(), acls, CreateMode.PERSISTENT));
  32. }
  33. } catch (IOException e) {
  34. e.printStackTrace();
  35. } catch (KeeperException e1) {
  36. e1.printStackTrace();
  37. } catch (InterruptedException e1) {
  38. e1.printStackTrace();
  39. }
  40. }
  41. @Test
  42. public void testAclClient() {
  43. try {
  44. ZooKeeper zk = new ZooKeeper( “10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181”, 300000, new Watcher() {
  45. // 监控所有被触发的事件
  46. public void process(WatchedEvent event) {
  47. System.out.println( “已经触发了” + event.getType() + “事件!”);
  48. }
  49. });
  50. // 只有写权限
  51. zk.addAuthInfo( “digest”, “fish:fishpw”.getBytes());
  52. // 只有读权限
  53. zk.addAuthInfo( “digest”, “qsd:qsdpw”.getBytes());
  54. System.out.println( new String(zk.getData( “/test”, null, null)));
  55. zk.setData( “/test”, “I change!”.getBytes(), - 1);
  56. } catch (KeeperException e) {
  57. e.printStackTrace();
  58. } catch (InterruptedException e) {
  59. e.printStackTrace();
  60. } catch (IOException e) {
  61. e.printStackTrace();
  62. }
  63. }


你可能感兴趣的:(Zookeeper,Zookeeper,acl)