ZooKeeper ACL权限控制

最新推荐文章于 2024-08-27 22:40:21 发布
最新推荐文章于 2024-08-27 22:40:21 发布
阅读量1.6w 收藏 34
点赞数 15
分类专栏: zookeeper 文章标签: zookeeper acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxiao723846/article/details/79391650
版权

ZK 类似文件系统,Client 可以在上面创建节点、更新节点、删除节点等如何做到权限的控制?查阅文档,zk的ack(Access Control List)能够保证权限,但是调研完后发现它不是很好用。

ACL 权限控制,使用:schema:id:permission 来标识,主要涵盖 3 个方面:

  1. 权限模式(Schema):鉴权的策略
  2. 授权对象(ID)
  3. 权限(Permission)
其特性如下:
  1. ZooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限
  2. 每个znode支持设置多种权限控制方案和多个权限
  3. 子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点
一、接下来,我们逐一讲解schema、id和permission三个知识点。

1、schema:
ZooKeeper内置了一些权限控制方案,可以用以下方案为每个节点设置权限:
方案 描述
world只有一个用户:anyone,代表所有人(默认)
ip使用IP地址认证
auth使用已添加认证的用户认证
digest使用“用户名:密码”方式认证
2、id:
授权对象ID是指,权限赋予的用户或者一个实体,例如:IP 地址或者机器。授权模式 schema 与 授权对象 ID 之间关系:


3、权限permission:
权限 ACL简写 描述
CREATEc可以创建子节点
DELETEd可以删除子节点(仅下一级节点)
READr可以读取节点数据及显示子节点列表
WRITEw可以设置节点数据
ADMINa可以设置节点访问控制列表权限
二、权限相关命令:
命令 使用方式 描述
getAclgetAcl <path>读取ACL权限
setAclsetAcl <path> <acl>设置ACL权限
addauthaddauth <scheme> <auth>添加认证用户
三、实战:
1、World方案:
1)设置方式 
setAcl <path> world:anyone:<acl>
2)客户端实例: 
[zk: localhost:2181(CONNECTED) 0] create /node1 1
Created /node1

[zk: localhost:2181(CONNECTED) 1] getAcl /node1
'world,'anyone  #默认为world方案
: cdrwa #任何人都拥有所有权限

#可以用以下方式设置:
[zk: localhost:2181(CONNECTED) 2] setAcl /node1 world:anyone:cdrwa
cZxid = 0x19000002a1
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x19000002a1
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x19000002a1
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

2、IP方案:
1)设置方式 
setAcl <path> ip:<ip>:<acl>
<ip>:可以是具体IP也可以是IP/bit格式,即IP转换为二进制,匹配前bit位,如192.168.0.0/16匹配192.168.*.*
2)客户端实例 
[zk: localhost:2181(CONNECTED) 0] create /node2 1
Created /node2

[zk: localhost:2181(CONNECTED) 1] setAcl /node2 ip:192.168.100.1:cdrwa #设置IP:192.168.100.1 拥有所有权限
cZxid = 0x1900000239
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x1900000239
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x1900000239
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 2] getAcl /node2
'ip,'192.168.100.1
: cdrwa

#使用IP非 192.168.100.1 的机器
[zk: localhost:2181(CONNECTED) 0] get /node2
Authentication is not valid : /node2 #没有权限

[zk: localhost:2181(CONNECTED) 1] delete /node2 #删除成功(因为设置DELETE权限仅对下一级子节点有效,并不包含此节点)

3、Auth方案
1)设置方式 
addauth digest <user>:<password> #添加认证用户
setAcl <path> auth:<user>:<acl>
2)客户端实例 
[zk: localhost:2181(CONNECTED) 0] create /node3 1
Created /node3

[zk: localhost:2181(CONNECTED) 1] addauth digest yoonper:123456 #添加认证用户

[zk: localhost:2181(CONNECTED) 2] setAcl /node3 auth:yoonper:cdrwa
cZxid = 0x19000002b8
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x19000002b8
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x19000002b8
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 3] getAcl /node3
'digest,'yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=
: cdrwa

[zk: localhost:2181(CONNECTED) 4] get /node3
1 #刚才已经添加认证用户,可以直接读取数据,断开会话重连需要重新addauth添加认证用户
cZxid = 0x1900000418
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x1900000418
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x1900000418
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

4、Digest方案
1)设置方式 
setAcl <path> digest:<user>:<password>:<acl>
这里的密码是经过SHA1及BASE64处理的密文,在SHELL中可以通过以下命令计算: 
echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64
先来计算一个密文 
echo -n yoonper:123456 | openssl dgst -binary -sha1 | openssl base64
UvJWhBril5yzpEiA2eV7bwwhfLs=
2)客户端实例 
[zk: localhost:2181(CONNECTED) 0] create /node4 1
Created /node4

#使用是上面算好的密文密码添加权限:
[zk: localhost:2181(CONNECTED) 1] setAcl /node4 digest:yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=:cdrwa
cZxid = 0x19000002e3
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x19000002e3
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x19000002e3
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

[zk: localhost:2181(CONNECTED) 2] getAcl /node4
'digest,'yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=
: cdrwa

[zk: localhost:2181(CONNECTED) 3] get /node4
Authentication is not valid : /node4 #没有权限

[zk: localhost:2181(CONNECTED) 4] addauth digest yoonper:123456 #添加认证用户

[zk: localhost:2181(CONNECTED) 5] get /node4
1 #成功读取数据
cZxid = 0x1900000420
ctime = Thu May 11 22:00:00 CST 2017
mZxid = 0x1900000420
mtime = Thu May 11 22:00:00 CST 2017
pZxid = 0x1900000420
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 1
numChildren = 0

5、java客户单实例: 
import java.io.IOException;  
import java.util.concurrent.CountDownLatch;  
  
import org.apache.zookeeper.CreateMode;  
import org.apache.zookeeper.KeeperException;  
import org.apache.zookeeper.WatchedEvent;  
import org.apache.zookeeper.Watcher;  
import org.apache.zookeeper.Watcher.Event.EventType;  
import org.apache.zookeeper.Watcher.Event.KeeperState;  
import org.apache.zookeeper.ZooDefs.Ids;  
import org.apache.zookeeper.ZooKeeper;  
  
import com.zookeeper.utils.CommonParams;  
  
  
public class Zookeeper_Acl_Create  extends CommonParams implements Watcher {  
  
    private static CountDownLatch latch = new CountDownLatch(1);  
      
    private static CountDownLatch countDownLatch = new CountDownLatch(1);  
      
    private static ZooKeeper zk = null;  
  
    public void syncInit() {  
        try {  
            zk = new ZooKeeper(CONNECTION_IP, 5000,  
                    new Zookeeper_Acl_Create());  
            latch.await();  
            zk.addAuthInfo("digest", "username:password".getBytes());  
            zk.create("/act", "init".getBytes(), Ids.CREATOR_ALL_ACL, CreateMode.EPHEMERAL);  
            ZooKeeper zk3 =  new ZooKeeper(CONNECTION_IP, 5000,  
                    null);  
            zk3.addAuthInfo("digest", "username:password".getBytes());  
            String value2 = new String(zk3.getData("/act", false, null));  
            System.out.println("zk3有权限进行数据的获取" + value2);  
            ZooKeeper zk2 =  new ZooKeeper(CONNECTION_IP, 5000,  
                    null);  
            zk2.addAuthInfo("digest", "super:123".getBytes());  
            zk2.getData("/act", false, null);  
        } catch (InterruptedException e) {  
            e.printStackTrace();  
        } catch (IOException e) {  
            e.printStackTrace();  
        } catch (KeeperException e) {  
            System.out.println("异常:" + e.getMessage());  
            System.out.println("zk2没有权限进行数据的获取");  
            countDownLatch.countDown();  
        }  
    }  
  
    @Override  
    public void process(WatchedEvent event) {  
        if (KeeperState.SyncConnected == event.getState()) {  
            if (event.getType() == EventType.None && null == event.getPath()) {  
                latch.countDown();  
            }   
        }  
    }  
      
    public static void main(String[] args) throws InterruptedException {  
        Zookeeper_Acl_Create acl_Create = new Zookeeper_Acl_Create();  
        acl_Create.syncInit();  
        countDownLatch.await();  
    }  
  
}
输出: 
zk3有权限进行数据的获取init  
异常:KeeperErrorCode = NoAuth for /act  
zk2没有权限进行数据的获取


赶路人儿
关注
专栏目录
ZookeeperACL权限控制
AI天才研究院
06-30 423
作者:禅与计算机程序设计艺术 1. 背景介绍 1.1 问题的由来 随着云计算和分布式系统的普及,Zookeeper成为了许多大规模应用程序的关键组件之一。它被广泛用于协调大量客户端和服务端节点之间的一致性和数据共享。然而,面对庞大的用户群和复杂的访问需求时,如何有效地管理资源访问权限成为了一
zookeeperacl权限控制_ZooKeeper ACL权限控制机制
weixin_33914679的博客
01-15 705
ZooKeeperACL 权限控制和 Unix/Linux 操作系统的ACL有一些区别,我们可以从三个方面来理解 ACL 机制,分别是: 权限模式(Scheme)、授权对象(ID)和权限(Permission),通常使用 scheme:id:perm 来标识一个有效的ACL信息。需要注意的是,ACL仅与指定 ZNode 有关,不适用于子节点。例如,如果 /app 节点仅可由 ip:1...
zookeeperzookeeperACL权限学习
Mrerlou的博客
07-23 366
ZooKeeper使用ACL控制对其znodeZooKeeper数据树的数据节点)的访问。ACL实现与UNIX文件访问权限非常相似:它使用权限位来允许/禁止针对节点及其所应用范围的各种操作。与标准UNIX权限不同,ZooKeeper节点不受用户(文件所有者)、组和环境(其他)的三个标准范围的限制。ZooKeeper没有znode所有者的概念。而是,ACL指定一组ID和与这些ID关联的权限。还请注意,ACL仅与特定的znode有关。特别是它不适用于子节点。例如,如果/app仅可被读取,并且。
ZookeeperACL 认证
最新发布
qq_41273137的博客
08-27 1109
ZookeeperACL 以及demo
zookeeperacl权限控制
qq_45421186的博客
02-07 509
一.概述 zookeeper类似文件系统,client可以创建节点、更新节点、删除节点。而节点的权限控制是access control list(访问控制列表)。 二.acl权限控制的内容 1.权限模式(scheme) 采用授权的策略。 2.授权对象(id) 授权的对象。 3.权限(permission) 授予的权限。 三.zookeeper权限控制特性 1.zookeeper权限控制是基于每个znode节点的,需要对每个节点设置权限。 2.每个znode节点支持设置多种权限控制方案和多个权限 3.子
zookeeperACL权限控制
breakout_alex的博客
11-10 695
ACL:Access Control List访问控制列表 1. 简介 0.概述 ACL 权限控制,使用:scheme:id:perm来标识,主要涵盖 3 个方面:   权限模式(Scheme):授权的策略   授权对象(ID):授权的对象   权限(Permission):授予的权限 其特性如下:   ZooKeeper权限控制是基于每个znode节点的,需要对每个节点设置权限   每个znode支持设置多种权限控制方案和多个权限   子节点不会继承父节点的权限,客户端无权访问某节点,但...
zookeeperACL权限
神神秘秘
03-29 565
ACL是做什么的 对于ZooKeeper,开发人员往往负责管理访问控制权限,而不是管理员。 子节点并不会继承父节点的访问权限。2者的acl毫无关联。 ZooKeeper通过访问控制表(ACL)来控制访问权限。一个ACL包括以下形式的记录:scheme:auth-info scheme对应了一组内置的鉴权模式。 auth-info对应了特定模式所对应的方式进行编码的鉴权信息。 如果创建...
zookeeper配置相应的acl权限
08-29
Zookeeper 权限控制 Zookeeper 使用 ACL(Access Control List)来控制访问 Znode,ACL 的实现和 UNIX 的实现非常相似:它采用权限位来控制哪些操作被允许,哪些操作被禁止。但是和标准的 UNIX 权限不同的是,...
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4607
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
zookeeper--ACL详解
qq_41768644的博客
03-28 2650
zookeeper ACL权限详解 addauth 详解
zookeeper 访问控制acl
pzqingchong的专栏
09-26 375
http://www.wuzesheng.com/?p=2438
zk-acl 权限控制
qbian的博客
08-29 584
 
zk学习之ACL权限管理
LC_HYQ的博客
09-14 362
acl相关命令: acl命令的构成: schema构成: word表示任何用户都可以登陆 auth表示需要特定的账号密码才可以登陆 digest表示需要对密码加密才能登陆 ip表示只有特定的ip才可以访问 super表示超级管理员 : permissions构成:  ...
zookeeper 限制本机ip访问_为zookeeper配置相应的acl权限
weixin_29467909的博客
02-05 1811
Zookeeper使用ACL控制访问Znode,ACL的实现和UNIX的实现非常相似:它采用权限位来控制那些操作被允许,那些操作被禁止。但是和标准的UNIX权限不同的是,Znode没有限制用户(user,即文件的所有者),组(group)和其他(world)。Zookeepr是没有所有者的概念的。每个ZNode的ACL是独立的,且子节点不会继承父节点的ACL。例如:Znode /app对于ip为...
Zookeeper设置访问权限
热门推荐
u013026077的博客
07-02 1万+
[b][size=medium]zookeeper的身份认证有4种方式[/size][/b] (1)world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper对所有人有权限的结点就是属于world:anyone的 (2)auth: 它不需要id, 只要是通过authentication的user都有权限zookeeper支持通过ker...
Zookeeper篇——Zookeeper权限设置
我热爱学习,也乐于分享。无论是科技前沿的洞见,还是生活中的小技巧,我都会在这里与你分享。我相信,知识就是力量,而分享则能让这份力量得到更好的传递。
12-18 910
至此,关于Zookeeper如何设置权限,你已经掌握。后续还会持续更新,敬请期待~~~3、在另一个会话必须先使用账号密码,才能拥有操作该节点的权限。(1)如果在新的会话不使用这个账号和密码。(2)登陆账号即可获取到这个节点的数据。一、了解zkacl权限包括什么?1、给当前的会话创建账号和密码。2、创建节点并设置权限
zookeeper ACL
08-17
- *3* [ZooKeeper ACL权限控制](https://blog.csdn.net/weixin_54051652/article/details/123332095)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赶路人儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值