快捷導(dǎo)航

為zookeeper配置相應(yīng)的acl權(quán)限

更新時(shí)間：2017年09月21日 15:22:10 作者：qianshanding0708

這篇文章主要介紹了為zookeeper配置相應(yīng)的acl權(quán)限的相關(guān)實(shí)例，具有一定參考價(jià)值，需要的朋友可以了解下。

Zookeeper使用ACL來控制訪問Znode，ACL的實(shí)現(xiàn)和UNIX的實(shí)現(xiàn)非常相似：它采用權(quán)限位來控制那些操作被允許，那些操作被禁止。但是和標(biāo)準(zhǔn)的UNIX權(quán)限不同的是，Znode沒有限制用戶（user，即文件的所有者），組（group）和其他（world）。Zookeepr是沒有所有者的概念的。

每個(gè)ZNode的ACL是獨(dú)立的，且子節(jié)點(diǎn)不會(huì)繼承父節(jié)點(diǎn)的ACL。例如：Znode /app對(duì)于ip為172.16.16.1只有只讀權(quán)限，而/app/status是world可讀，那么任何人都可以獲取/app/status;所以在Zookeeper中權(quán)限是沒有繼承和傳遞關(guān)系的，每個(gè)Znode的權(quán)限都是獨(dú)立存在的。

Zookeeper支持可插拔的權(quán)限認(rèn)證方案，分為三個(gè)維度：scheme，user，permission。通常表示為scheme:id，permissions，其中Scheme表示使用何種方式來進(jìn)行訪問控制，Id代表用戶，Permission表示有什么權(quán)限。下面分別說說這三個(gè)維度：

ZooKeeper支持如下權(quán)限（permissions）：

· CREATE：可以創(chuàng)建子節(jié)點(diǎn)

· READ：可以獲取該節(jié)點(diǎn)的數(shù)據(jù)，也可以讀取該節(jié)點(diǎn)所有的子節(jié)點(diǎn)。

· WRITE：可以寫數(shù)據(jù)到該節(jié)點(diǎn)。

· DELETE：可以刪除子節(jié)點(diǎn)。

·ADMIN：可以在該節(jié)點(diǎn)中設(shè)置權(quán)限。

簡單來說，zookeeper的這5種操作權(quán)限，CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、刪、改、查、管理權(quán)限，這5種權(quán)限簡寫為crwda(即：每個(gè)單詞的首字符縮寫)

注：這5種權(quán)限中，delete是指對(duì)子節(jié)點(diǎn)的刪除權(quán)限，其它4種權(quán)限指對(duì)自身節(jié)點(diǎn)的操作權(quán)限

內(nèi)置的ACL Schemes：

world：只有一個(gè)id：anyone，world:anyone表示任何人都有訪問權(quán)限，Zookeeper把任何人都有權(quán)限的節(jié)點(diǎn)都?xì)w屬于world:anyone

auth：不需要任何id，只要是通過auth的user都有權(quán)限

digest：使用用戶名/密碼的方式驗(yàn)證，采用username:BASE64(SHA1(password))的字符串作為ACL的ID

ip：使用客戶端的IP地址作為ACL的ID，設(shè)置的時(shí)候可以設(shè)置一個(gè)ip段，比如ip:192.168.1.0/16, 表示匹配前16個(gè)bit的IP段

sasl：sasl的對(duì)應(yīng)的id，是一個(gè)通過sasl authentication用戶的id，zookeeper-3.4.4中的sasl authentication是通過kerberos來實(shí)現(xiàn)的，也就是說用戶只有通過了kerberos認(rèn)證，才能訪問它有權(quán)限的node.

如果需要實(shí)現(xiàn)自己定義的Scheme，可以實(shí)現(xiàn)org.apache.zookeeper.server.auth.AuthenticationProvider接口。

示例：

    @Test
	public void testAclServer() {
		List<ACL> acls = new ArrayList<ACL>(2);
		try {
			Id id1 = new Id("digest", DigestAuthenticationProvider.generateDigest("fish:fishpw"));
			ACL acl1 = new ACL(ZooDefs.Perms.WRITE, id1);
			Id id2 = new Id("digest", DigestAuthenticationProvider.generateDigest("qsd:qsdpw"));
			ACL acl2 = new ACL(ZooDefs.Perms.READ, id2);
			acls.add(acl1);
			acls.add(acl2);
			// 所有用戶都有權(quán)限
			// Id world = new Id("world", "anyone");
			// ACL worldAcl = new ACL(ZooDefs.Perms.READ, world);
			// acls.add(worldAcl);
			// 10.0.2.76是本機(jī)IP
			// Id id3 = new Id("ip", "10.0.2.76");
			// ACL acl3 = new ACL(ZooDefs.Perms.WRITE, id3);
			// acls.add(acl3);
		} catch (NoSuchAlgorithmException e1) {
			e1.printStackTrace();
		}
		ZooKeeper zk = null;
		try {
			zk = new ZooKeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181", 300000, new Watcher() {
				// 監(jiān)控所有被觸發(fā)的事件
				public void process(WatchedEvent event) {
					System.out.println("已經(jīng)觸發(fā)了" + event.getType() + "事件！");
				}
			});
			if (zk.exists("/test", true) == null) {
				System.out.println(zk.create("/test", "ACL測試".getBytes(), acls, CreateMode.PERSISTENT));
			}
		} catch (IOException e) {
			e.printStackTrace();
		} catch (KeeperException e1) {
			e1.printStackTrace();
		} catch (InterruptedException e1) {
			e1.printStackTrace();
		}
	}
	@Test
	public void testAclClient() {
		try {
			ZooKeeper zk = new ZooKeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181", 300000, new Watcher() {
				// 監(jiān)控所有被觸發(fā)的事件
				public void process(WatchedEvent event) {
					System.out.println("已經(jīng)觸發(fā)了" + event.getType() + "事件！");
				}
			});
			// 只有寫權(quán)限
			zk.addAuthInfo("digest", "fish:fishpw".getBytes());
			// 只有讀權(quán)限
			zk.addAuthInfo("digest", "qsd:qsdpw".getBytes());
			System.out.println(new String(zk.getData("/test", null, null)));
			zk.setData("/test", "I change！".getBytes(), -1);
		} catch (KeeperException e) {
			e.printStackTrace();
		} catch (InterruptedException e) {
			e.printStackTrace();
		} catch (IOException e) {
			e.printStackTrace();
		}
	}

總結(jié)

以上就是本文關(guān)于為zookeeper配置相應(yīng)的acl權(quán)限的全部內(nèi)容，希望對(duì)大家有所幫助。有什么問題可以留言，小編會(huì)及時(shí)回復(fù)大家的，在此也感謝大家對(duì)本站的支持。

您可能感興趣的文章: