ACL:Access Control List 访问控制列表
ACL概述
Zookeeper的ACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme: id :perm。
Scheme表示权限模式,ID表示授权对象,Permission表示授权的对象权限。
scheme
scheme对应于采用哪种方案来进行权限管理,zookeeper-3.4.4缺省支持下面几种scheme:
- world:默认方式,相当于全部都能访问
- auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
- digest:即用户名:密码这种方式认证,这也是业务系统中最常用的。用username:password字符串来产生一个MD5串,然后该串被用来作为ACL ID。认证是通过明文发送username:password来进行的,当用在ACL时,表达式为username:base64 ,base64是password的SHA1摘要的编码。
- ip:使用客户端的主机IP作为ACL ID 。这个ACL表达式的格式为addr/bits,此时addr中的有效位与客户端addr中的有效位进行比对。
ID
id与scheme是紧密相关的,不同scheme对应的ID如下图所示:
permission
permission决定授予什么权限。
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda。
这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限
更详细的如下:
CREATE c 可以创建子节点
DELETE d 可以删除子节点(仅下一级节点)
READ r 可以读取节点数据及显示子节点列表
WRITE w 可以设置节点数据
ADMIN a 可以设置节点访问控制列表权限
ACL特性
- ZooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限
- 每个znode支持设置多种权限控制方案和多个权限
- 子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点
ACL相关命令
getAcl getAcl <path> 读取ACL权限
setAcl setAcl <path> <acl> 设置ACL权限
addauth addauth <scheme> <auth> 添加认证用户