欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

分布式服務(wù)Dubbo+Zookeeper安全認(rèn)證實(shí)例

 更新時(shí)間:2017年12月19日 13:50:32   作者:小柒2012  
下面小編就為大家分享一篇分布式服務(wù)Dubbo+Zookeeper安全認(rèn)證實(shí)例,具有很好的參考價(jià)值,希望對大家有所幫助。一起跟隨小編過來看看吧

前言

由于之前的服務(wù)都是在內(nèi)網(wǎng),Zookeeper集群配置都是走的內(nèi)網(wǎng)IP,外網(wǎng)不開放相關(guān)端口。最近由于業(yè)務(wù)升級,購置了阿里云的服務(wù),需要對外開放Zookeeper服務(wù)。

問題

Zookeeper+dubbo,如何設(shè)置安全認(rèn)證?不想讓其他服務(wù)連接Zookeeper,因?yàn)檫@個(gè)Zookeeper服務(wù)器在外網(wǎng)。

查詢官方文檔:

Zookeeper 是 Apacahe Hadoop 的子項(xiàng)目,是一個(gè)樹型的目錄服務(wù),支持變更推送,適合作為 Dubbo 服務(wù)的注冊中心,工業(yè)強(qiáng)度較高,可用于生產(chǎn)環(huán)境,并推薦使用。

流程說明:

•服務(wù)提供者啟動(dòng)時(shí): 向 /dubbo/com.foo.BarService/providers 目錄下寫入自己的 URL 地址

•服務(wù)消費(fèi)者啟動(dòng)時(shí): 訂閱 /dubbo/com.foo.BarService/providers 目錄下的提供者 URL 地址。并向 /dubbo/com.foo.BarService/consumers 目錄下寫入自己的 URL 地址

•監(jiān)控中心啟動(dòng)時(shí): 訂閱 /dubbo/com.foo.BarService 目錄下的所有提供者和消費(fèi)者 URL 地址

支持以下功能:

•當(dāng)提供者出現(xiàn)斷電等異常停機(jī)時(shí),注冊中心能自動(dòng)刪除提供者信息

•當(dāng)注冊中心重啟時(shí),能自動(dòng)恢復(fù)注冊數(shù)據(jù),以及訂閱請求

•當(dāng)會話過期時(shí),能自動(dòng)恢復(fù)注冊數(shù)據(jù),以及訂閱請求

•當(dāng)設(shè)置 < dubbo:registry check="false" /> 時(shí),記錄失敗注冊和訂閱請求,后臺定時(shí)重試

•可通過 < dubbo:registry username="admin" password="1234" /> 設(shè)置 zookeeper 登錄信息

•可通過 < dubbo:registry group="dubbo" /> 設(shè)置 zookeeper 的根節(jié)點(diǎn),不設(shè)置將使用無根樹

•支持 * 號通配符 < dubbo:reference group="" version="" />,可訂閱服務(wù)的所有分組和所有版本的提供者

官網(wǎng)文檔第五條,明確說明了可以通過username和 password字段設(shè)置zookeeper 登錄信息。

以下是registry參數(shù)說明:

但是,如果在Zookeeper上通過digest方式設(shè)置ACL,然后在dubbo registry上配置相應(yīng)的用戶、密碼,服務(wù)就注冊不到Zookeeper上了,會報(bào)KeeperErrorCode = NoAuth錯(cuò)誤。

但是查閱ZookeeperRegistry相關(guān)源碼并沒有發(fā)現(xiàn)相關(guān)認(rèn)證的地方,搜遍全網(wǎng)很少有問類似的問題,這個(gè)問題似乎并沒有多少人關(guān)注。

Zookeeper中的ACL

概述

傳統(tǒng)的文件系統(tǒng)中,ACL分為兩個(gè)維度,一個(gè)是屬組,一個(gè)是權(quán)限,子目錄/文件默認(rèn)繼承父目錄的ACL。而在Zookeeper中,node的ACL是沒有繼承關(guān)系的,是獨(dú)立控制的。Zookeeper的ACL,可以從三個(gè)維度來理解:一是scheme; 二是user; 三是permission,通常表示為

scheme:id:permissions

下面從這三個(gè)方面分別來介紹:

scheme: scheme對應(yīng)于采用哪種方案來進(jìn)行權(quán)限管理,zookeeper實(shí)現(xiàn)了一個(gè)pluggable的ACL方案,可以通過擴(kuò)展scheme,來擴(kuò)展ACL的機(jī)制。zookeeper-3.4.4缺省支持下面幾種scheme:

world: 它下面只有一個(gè)id, 叫anyone, world:anyone代表任何人,zookeeper中對所有人有權(quán)限的結(jié)點(diǎn)就是屬于world:anyone的

auth: 它不需要id, 只要是通過authentication的user都有權(quán)限(zookeeper支持通過kerberos來進(jìn)行authencation, 也支持username/password形式的authentication)

digest: 它對應(yīng)的id為username:BASE64(SHA1(password)),它需要先通過username:password形式的authentication

ip: 它對應(yīng)的id為客戶機(jī)的IP地址,設(shè)置的時(shí)候可以設(shè)置一個(gè)ip段,比如ip:192.168.1.0/16, 表示匹配前16個(gè)bit的IP段

super: 在這種scheme情況下,對應(yīng)的id擁有超級權(quán)限,可以做任何事情(cdrwa)

permission: zookeeper目前支持下面一些權(quán)限:

CREATE(c): 創(chuàng)建權(quán)限,可以在在當(dāng)前node下創(chuàng)建child node

DELETE(d): 刪除權(quán)限,可以刪除當(dāng)前的node

READ(r): 讀權(quán)限,可以獲取當(dāng)前node的數(shù)據(jù),可以list當(dāng)前node所有的child nodes

WRITE(w): 寫權(quán)限,可以向當(dāng)前node寫數(shù)據(jù)

ADMIN(a): 管理權(quán)限,可以設(shè)置當(dāng)前node的permission

客戶端管理

我們可以通過以下命令連接客戶端進(jìn)行操作:

./zkCli.sh

幫助

[zk: localhost:2181(CONNECTED) 2] help
ZooKeeper -server host:port cmd args
    connect host:port
    get path [watch]
    ls path [watch]
    set path data [version]
    rmr path
    delquota [-n|-b] path
    quit 
    printwatches on|off
    create [-s] [-e] path data acl
    stat path [watch]
    close 
    ls2 path [watch]
    history 
    listquota path
    setAcl path acl
    getAcl path
    sync path
    redo cmdno
    addauth scheme auth
    delete path [version]
    setquota -n|-b val path

簡單操作

[zk: localhost:2181(CONNECTED) 12] ls /
[dubbo, test, zookeeper]
[zk: localhost:2181(CONNECTED) 13] create /itstyle data ip:192.168.1.190:cdrw
Created /itstyle
[zk: localhost:2181(CONNECTED) 14] getAcl /itstyle
'ip,'192.168.1.190
: cdrw

zkclient操作代碼

import java.security.NoSuchAlgorithmException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import org.I0Itec.zkclient.ZkClient;
import org.apache.zookeeper.ZooDefs;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.data.Stat;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;
public class Acl {
  private static final String zkAddress = "192.168.1.190:2181"; 
  private static final String testNode = "/dubbo"; 
  private static final String readAuth = "read-user:123456"; 
  private static final String writeAuth = "write-user:123456"; 
  private static final String deleteAuth = "delete-user:123456"; 
  private static final String allAuth = "super-user:123456"; 
  private static final String adminAuth = "admin-user:123456"; 
  private static final String digest = "digest"; 
  
  private static void initNode() throws NoSuchAlgorithmException { 
    ZkClient zkClient = new ZkClient(zkAddress); 
    System.out.println(DigestAuthenticationProvider.generateDigest(allAuth));
    zkClient.addAuthInfo(digest, allAuth.getBytes()); 
    if (zkClient.exists(testNode)) { 
      zkClient.delete(testNode); 
      System.out.println("節(jié)點(diǎn)刪除成功!"); 
    } 
  
    List<ACL> acls = new ArrayList<ACL>(); 
    acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));
    acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth)))); 
    acls.add(new ACL(ZooDefs.Perms.READ, new Id(digest, DigestAuthenticationProvider.generateDigest(readAuth)))); 
    acls.add(new ACL(ZooDefs.Perms.WRITE, new Id(digest, DigestAuthenticationProvider.generateDigest(writeAuth)))); 
    acls.add(new ACL(ZooDefs.Perms.DELETE, new Id(digest, DigestAuthenticationProvider.generateDigest(deleteAuth)))); 
    acls.add(new ACL(ZooDefs.Perms.ADMIN, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth)))); 
    zkClient.createPersistent(testNode, testNode, acls); 
  
    System.out.println(zkClient.readData(testNode)); 
    System.out.println("節(jié)點(diǎn)創(chuàng)建成功!"); 
    zkClient.close(); 
  } 
  
  private static void readTest() { 
    ZkClient zkClient = new ZkClient(zkAddress); 
    try { 
      System.out.println(zkClient.readData(testNode));//沒有認(rèn)證信息,讀取會出錯(cuò) 
    } catch (Exception e) { 
      System.err.println(e.getMessage()); 
    } 
  
    try { 
      zkClient.addAuthInfo(digest, adminAuth.getBytes()); 
      System.out.println(zkClient.readData(testNode));//admin權(quán)限與read權(quán)限不匹配,讀取也會出錯(cuò) 
    } catch (Exception e) { 
      System.err.println(e.getMessage()); 
    } 
  
    try { 
      zkClient.addAuthInfo(digest, readAuth.getBytes()); 
      System.out.println(zkClient.readData(testNode));//只有read權(quán)限的認(rèn)證信息,才能正常讀取 
    } catch (Exception e) { 
      System.err.println(e.getMessage()); 
    } 
  
    zkClient.close(); 
  } 
  
  private static void writeTest() { 
    ZkClient zkClient = new ZkClient(zkAddress); 
  
    try { 
      zkClient.writeData(testNode, "new-data");//沒有認(rèn)證信息,寫入會失敗 
    } catch (Exception e) { 
      System.err.println(e.getMessage()); 
    } 
  
    try { 
      zkClient.addAuthInfo(digest, writeAuth.getBytes()); 
      zkClient.writeData(testNode, "new-data");//加入認(rèn)證信息后,寫入正常 
    } catch (Exception e) { 
      System.err.println(e.getMessage()); 
    } 
  
    try { 
      zkClient.addAuthInfo(digest, readAuth.getBytes()); 
      System.out.println(zkClient.readData(testNode));//讀取新值驗(yàn)證 
    } catch (Exception e) { 
      System.err.println(e.getMessage()); 
    } 
  
    zkClient.close(); 
  } 
  
  private static void deleteTest() { 
    ZkClient zkClient = new ZkClient(zkAddress); 
    zkClient.addAuthInfo(digest, deleteAuth.getBytes()); 
    try { 
      System.out.println(zkClient.readData(testNode)); 
      zkClient.delete(testNode); 
      System.out.println("節(jié)點(diǎn)刪除成功!"); 
    } catch (Exception e) { 
      System.err.println(e.getMessage()); 
    } 
    zkClient.close(); 
  } 
  
  private static void changeACLTest() { 
    ZkClient zkClient = new ZkClient(zkAddress); 
    //注:zkClient.setAcl方法查看源碼可以發(fā)現(xiàn),調(diào)用了readData、setAcl二個(gè)方法 
    //所以要修改節(jié)點(diǎn)的ACL屬性,必須同時(shí)具備read、admin二種權(quán)限 
    zkClient.addAuthInfo(digest, adminAuth.getBytes()); 
    zkClient.addAuthInfo(digest, readAuth.getBytes()); 
    try { 
      List<ACL> acls = new ArrayList<ACL>(); 
      acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth)))); 
      zkClient.setAcl(testNode, acls); 
      Map.Entry<List<ACL>, Stat> aclResult = zkClient.getAcl(testNode); 
      System.out.println(aclResult.getKey()); 
    } catch (Exception e) { 
      System.err.println(e.getMessage()); 
    } 
    zkClient.close(); 
  } 
  
  public static void main(String[] args) throws Exception { 
  
    initNode(); 
  
    System.out.println("---------------------"); 
  
    readTest(); 
  
    System.out.println("---------------------"); 
  
    writeTest(); 
  
    System.out.println("---------------------"); 
  
    changeACLTest(); 
  
    System.out.println("---------------------"); 
  
    deleteTest(); 
  } 
}

總結(jié)

大部分服務(wù)大都是部署在內(nèi)網(wǎng)的,基本很少對外網(wǎng)開放,然而Dubbo的zookeeper用戶權(quán)限認(rèn)證貌似真的不起作用,如果非要對外開放只能通過iptables或者firewall進(jìn)行IP Access Control,如果是阿里云服務(wù)器的話安全組也是個(gè)不錯(cuò)的選擇。

以上這篇分布式服務(wù)Dubbo+Zookeeper安全認(rèn)證實(shí)例就是小編分享給大家的全部內(nèi)容了,希望能給大家一個(gè)參考,也希望大家多多支持腳本之家。

相關(guān)文章

  • 學(xué)好Java?MyBatis攔截器,提高工作效率

    學(xué)好Java?MyBatis攔截器,提高工作效率

    這篇文章主要介紹了Java中的?MyBatis攔截器,??Mybatis攔截器設(shè)計(jì)的初衷就是為了供用戶在某些時(shí)候可以實(shí)現(xiàn)自己的邏輯而不必去動(dòng)Mybatis固有的邏輯。詳細(xì)內(nèi)容需要的小伙伴可以參考下面文章內(nèi)容,希望對你有所幫助
    2022-02-02
  • springboot項(xiàng)目打成war包部署到tomcat遇到的一些問題

    springboot項(xiàng)目打成war包部署到tomcat遇到的一些問題

    這篇文章主要介紹了springboot項(xiàng)目打成war包部署到tomcat遇到的一些問題,需要的朋友可以參考下
    2017-06-06
  • Java語法之 Java 的多態(tài)、抽象類和接口

    Java語法之 Java 的多態(tài)、抽象類和接口

    上節(jié)介紹了 Java 基礎(chǔ)語法之解析 Java 的包和繼承,如果這類知識有點(diǎn)疑惑的小伙伴,可以去 Java 的包和繼承 這章看看,或許可以幫你解決一些疑惑喲!今天這篇文章我們將講解的是 Java 的多態(tài)、抽象類和接口,感興趣的小伙伴可以參考下面文章的具體內(nèi)容
    2021-09-09
  • 在java中使用SPI創(chuàng)建可擴(kuò)展的應(yīng)用程序操作

    在java中使用SPI創(chuàng)建可擴(kuò)展的應(yīng)用程序操作

    這篇文章主要介紹了在java中使用SPI創(chuàng)建可擴(kuò)展的應(yīng)用程序操作,具有很好的參考價(jià)值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-09-09
  • 8種常見的接口請求重試方法總結(jié)

    8種常見的接口請求重試方法總結(jié)

    在跨境業(yè)務(wù)中,可能第三方的服務(wù)器分布在世界的各個(gè)角落,所以請求三方接口的時(shí)候,難免會遇到一些網(wǎng)絡(luò)問題,這時(shí)候需要加入重試機(jī)制了,下面小編就給大家分享幾個(gè)接口重試的寫法吧
    2023-11-11
  • Spring Cloud Feign內(nèi)部實(shí)現(xiàn)代碼細(xì)節(jié)

    Spring Cloud Feign內(nèi)部實(shí)現(xiàn)代碼細(xì)節(jié)

    Feign 的英文表意為“假裝,偽裝,變形”, 是一個(gè)http請求調(diào)用的輕量級框架,可以以Java接口注解的方式調(diào)用Http請求,而不用像Java中通過封裝HTTP請求報(bào)文的方式直接調(diào)用。接下來通過本文給大家分享Spring Cloud Feign內(nèi)部實(shí)現(xiàn)代碼細(xì)節(jié),感興趣的朋友一起看看吧
    2021-05-05
  • idea搭建可運(yùn)行Servlet的Web項(xiàng)目

    idea搭建可運(yùn)行Servlet的Web項(xiàng)目

    在網(wǎng)上看到一篇很詳細(xì)的 intelliJ IDEA 創(chuàng)建web項(xiàng)目并簡單部署servlet的圖文教程,今天自己也配置一下,留個(gè)筆記,感興趣的可以了解一下
    2021-06-06
  • Java長度不足左位補(bǔ)0的3種實(shí)現(xiàn)方法

    Java長度不足左位補(bǔ)0的3種實(shí)現(xiàn)方法

    這篇文章主要介紹了Java長度不足左位補(bǔ)0的3種實(shí)現(xiàn)方法小結(jié),具有很好的參考價(jià)值,希望對大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2022-12-12
  • Java中浮點(diǎn)數(shù)精度問題的解決方法

    Java中浮點(diǎn)數(shù)精度問題的解決方法

    這篇文章給大家介紹了Java中浮點(diǎn)數(shù)精度問題的解決方法,本文給大家介紹的非常詳細(xì),有問題描述有原因分析,非常不錯(cuò),具有參考借鑒價(jià)值,感興趣的朋友一起看看吧
    2016-10-10
  • Java8 日期和時(shí)間類的基本使用

    Java8 日期和時(shí)間類的基本使用

    這篇文章主要介紹了Java 日期和時(shí)間類的基本使用,幫助大家更好的理解和學(xué)習(xí)Java,感興趣的朋友可以了解下
    2020-08-08

最新評論