文不打算对这部分代码进行全面的解读,而是先对几个主要类的职能进行概述,然后再罗列一些有价值的重要细节。本文原文连接:http://blog.csdn.net/bluishglc/article/details/11903613 转载请注明出处!
- 第一部分:HBase Security 概述
HBase Security主要是基于User和User Group(Role)对表(或是更细粒度的Family、Qualifer)进行安全检查(目前HBase Security暂不支持基于行的安全检查,但后续版本中会追加进来)。在authentication方面,它主要是通过Kerberos来完成的,这部分不是HBase Security实现的重点,HBase Security的大部分代码是在解决authorization的问题,也就是根据用户权限判定其是否有权访问某项资源。
HBase Security主要有这样几个重要的类:
org.apache.hadoop.hbase.security.access.AccessController
这是对所有访问进行拦截的入口,它既是MasterObserver又是RegionObserver,言下之意,它能拦截所有的操作。
org.apache.hadoop.hbase.security.access.AccessControlLists
这是专门负责对Permission进行读写(包括数据库和ZooKeeper)操作的类,你可以认为这一个DAO或是Repository
org.apache.hadoop.hbase.security.access.TableAuthManager
这是负责对用户进行权限检查的类,它主要有多个重载的authorize方法组成。同时,由于这个类的实例cache了所用的permission,因此它还有一些借助ZKPermissionWatcher进行同步本地与ZooKeeper数据的工作。
org.apache.hadoop.hbase.security.access.ZKPermissionWatcher
这是一个专门监视_acl_节点的一个ZooKeeper的Watcher. HBase Security在设计上为了考虑性能,会把所有的permission加载到内存中,但是如果permission发生变化,各节点需要同步