为zookeeper配置相应的acl权限
zookeeper使用acl来控制访问znode,acl的实现和unix的实现非常相似:它采用权限位来控制那些操作被允许,那些操作被禁止。但是和标准的unix权限不同的是,znode没有限制用户(user,即文件的所有者),组(group)和其他(world)。zookeepr是没有所有者的概念的。
每个znode的acl是独立的,且子节点不会继承父节点的acl。例如:znode /app对于ip为172.16.16.1只有只读权限,而/app/status是world可读,那么任何人都可以获取/app/status;所以在zookeeper中权限是没有继承和传递关系的,每个znode的权限都是独立存在的。
zookeeper支持可插拔的权限认证方案,分为三个维度:scheme,user,permission。通常表示为scheme:id,permissions,其中scheme表示使用何种方式来进行访问控制,id代表用户,permission表示有什么权限。下面分别说说这三个维度:
zookeeper支持如下权限(permissions):
· create:可以创建子节点
· read:可以获取该节点的数据,也可以读取该节点所有的子节点。
· write:可以写数据到该节点。
· delete:可以删除子节点。
·admin:可以在该节点中设置权限。
简单来说,zookeeper的这5种操作权限,create、read、write、delete、admin 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)
注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限
内置的acl schemes:
world: 只有一个id:anyone,world:anyone表示任何人都有访问权限,zookeeper把任何人都有权限的节点都归属于world:anyone
auth:不需要任何id, 只要是通过auth的user都有权限
digest: 使用用户名/密码的方式验证,采用username:base64(sha1(password))的字符串作为acl的id
ip: 使用客户端的ip地址作为acl的id,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的ip段
sasl:sasl的对应的id,是一个通过sasl authentication用户的id,zookeeper-3.4.4中的sasl authentication是通过kerberos来实现的,也就是说用户只有通过了kerberos认证,才能访问它有权限的node.
如果需要实现自己定义的scheme,可以实现org.apache.zookeeper.server.auth.authenticationprovider接口。
示例:
@test
public void testaclserver() {
list<acl> acls = new arraylist<acl>(2);
try {
id id1 = new id("digest", digestauthenticationprovider.generatedigest("fish:fishpw"));
acl acl1 = new acl(zoodefs.perms.write, id1);
id id2 = new id("digest", digestauthenticationprovider.generatedigest("qsd:qsdpw"));
acl acl2 = new acl(zoodefs.perms.read, id2);
acls.add(acl1);
acls.add(acl2);
// 所有用户都有权限
// id world = new id("world", "anyone");
// acl worldacl = new acl(zoodefs.perms.read, world);
// acls.add(worldacl);
// 10.0.2.76是本机ip
// id id3 = new id("ip", "10.0.2.76");
// acl acl3 = new acl(zoodefs.perms.write, id3);
// acls.add(acl3);
} catch (nosuchalgorithmexception e1) {
e1.printstacktrace();
}
zookeeper zk = null;
try {
zk = new zookeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181", 300000, new watcher() {
// 监控所有被触发的事件
public void process(watchedevent event) {
system.out.println("已经触发了" + event.gettype() + "事件!");
}
});
if (zk.exists("/test", true) == null) {
system.out.println(zk.create("/test", "acl测试".getbytes(), acls, createmode.persistent));
}
} catch (ioexception e) {
e.printstacktrace();
} catch (keeperexception e1) {
e1.printstacktrace();
} catch (interruptedexception e1) {
e1.printstacktrace();
}
}
@test
public void testaclclient() {
try {
zookeeper zk = new zookeeper("10.0.1.75:2181,10.0.1.76:2181,10.0.1.77:2181", 300000, new watcher() {
// 监控所有被触发的事件
public void process(watchedevent event) {
system.out.println("已经触发了" + event.gettype() + "事件!");
}
});
// 只有写权限
zk.addauthinfo("digest", "fish:fishpw".getbytes());
// 只有读权限
zk.addauthinfo("digest", "qsd:qsdpw".getbytes());
system.out.println(new string(zk.getdata("/test", null, null)));
zk.setdata("/test", "i change!".getbytes(), -1);
} catch (keeperexception e) {
e.printstacktrace();
} catch (interruptedexception e) {
e.printstacktrace();
} catch (ioexception e) {
e.printstacktrace();
}
}
总结
以上就是本文关于为zookeeper配置相应的acl权限的全部内容,希望对大家有所帮助。有什么问题可以留言,小编会及时回复大家的,在此也感谢大家对本站的支持。
上一篇: Android仿微信联系人字母排序效果