RocketMQ源码分析之权限ACL

最新推荐文章于 2024-06-11 17:51:16 发布
最新推荐文章于 2024-06-11 17:51:16 发布
阅读量2.5k 收藏
点赞数 1
分类专栏: RocketMQ 文章标签: RocketMQ
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ph3636/article/details/91875410
版权

Broker服务端

 

初始化时会初始化权限相关的类,是否校验权限需要通过aclEnable控制,在指定目录下查找所有的访问校验规则类

BrokerController#initialize
public static final String ACL_VALIDATOR_ID = "META-INF/service/org.apache.rocketmq.acl.AccessValidator";
private void initialAcl() {
    if (!this.brokerConfig.isAclEnable()) {
        log.info("The broker dose not enable acl");
        return;
    }

    List<AccessValidator> accessValidators = ServiceProvider.load(ServiceProvider.ACL_VALIDATOR_ID, AccessValidator.class);
    if (accessValidators == null || accessValidators.isEmpty()) {
        log.info("The broker dose not load the AccessValidator");
        return;
    }

    for (AccessValidator accessValidator: accessValidators) {
        final AccessValidator validator = accessValidator;
        this.registerServerRPCHook(new RPCHook() {

            @Override
            public void doBeforeRequest(String remoteAddr, RemotingCommand request) {
                //Do not catch the exception
                validator.validate(validator.parse(request, remoteAddr));
            }

            @Override
            public void doAfterResponse(String remoteAddr, RemotingCommand request, RemotingCommand response) {
            }
        });
    }
}

包装成钩子类注册通讯服务端

public class NettyRemotingServer extends NettyRemotingAbstract implements RemotingServer
public void registerRPCHook(RPCHook rpcHook) {
    if (rpcHook != null && !rpcHooks.contains(rpcHook)) {
        rpcHooks.add(rpcHook);
    }
}

在加载SPI时会初始化访问校验类PlainAccessValidator


public PlainAccessValidator() {
    aclPlugEngine = new PlainPermissionLoader();
}

实例化权限许可类

private String fileHome = System.getProperty(MixAll.ROCKETMQ_HOME_PROPERTY, System.getenv(MixAll.ROCKETMQ_HOME_ENV));
private String fileName = System.getProperty("rocketmq.acl.plain.file", DEFAULT_PLAIN_ACL_FILE);
public PlainPermissionLoader() {
    load();
    watch();
}

从指定目录加载服务端配置的权限文件


public void load() {
    Map<String, PlainAccessResource> plainAccessResourceMap = new HashMap<>();
    List<RemoteAddressStrategy> globalWhiteRemoteAddressStrategy = new ArrayList<>();

    JSONObject plainAclConfData = AclUtils.getYamlDataObject(fileHome + File.separator + fileName,
        JSONObject.class);

    if (plainAclConfData == null || plainAclConfData.isEmpty()) {
        throw new AclException(String.format("%s file  is not data", fileHome + File.separator + fileName));
    }
    log.info("Broker plain acl conf data is : ", plainAclConfData.toString());
    JSONArray globalWhiteRemoteAddressesList = plainAclConfData.getJSONArray("globalWhiteRemoteAddresses");
    if (globalWhiteRemoteAddressesList != null && !globalWhiteRemoteAddressesList.isEmpty()) {
        for (int i = 0; i < globalWhiteRemoteAddressesList.size(); i++) {
            globalWhiteRemoteAddressStrategy.add(remoteAddressStrategyFactory.
                    getRemoteAddressStrategy(globalWhiteRemoteAddressesList.getString(i)));
        }
    }

    JSONArray accounts = plainAclConfData.getJSONArray("accounts");
    if (accounts != null && !accounts.isEmpty()) {
        List<PlainAccessConfig> plainAccessConfigList = accounts.toJavaList(PlainAccessConfig.class);
        for (PlainAccessConfig plainAccessConfig : plainAccessConfigList) {
            PlainAccessResource plainAccessResource = buildPlainAccessResource(plainAccessConfig);
            plainAccessResourceMap.put(plainAccessResource.getAccessKey(),plainAccessResource);
        }
    }

    this.globalWhiteRemoteAddressStrategy = globalWhiteRemoteAddressStrategy;
    this.plainAccessResourceMap = plainAccessResourceMap;
}

解析具体的Yaml文件

public static <T> T getYamlDataObject(String path, Class<T> clazz) {
    Yaml ymal = new Yaml();
    FileInputStream fis = null;
    try {
        fis = new FileInputStream(new File(path));
        return ymal.loadAs(fis, clazz);
    } catch (Exception e) {
        throw new AclException(String.format("The  file for Plain mode was not found , paths %s", path), e);
    } finally {
        if (fis != null) {
            try {
                fis.close();
            } catch (IOException e) {
                throw new AclException("
最低0.47元/天 解锁文章
ph3636
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rocketmq-console已封装ACL
02-28
1支持开启控制台登录验证 2支持ACL 3支持docker部署
rocketmq实战与源码分析.zip
03-13
2 源码分析篇主要是对RocketMQ4.4.0及其后续版本中的新加入的功能进行源码级别的剖析,主要包括ACL、消息轨迹、多副本。 3 认知篇主要展示笔者阅读源码的经验分享,以及如何以布道师的身份参与Apache顶级开源项目的...
RocketMQ配置ACL的错误:java.lang.Class cannot be cast to org.apache.rocketmq.acl.AccessValidator
wulitaotao96的博客
04-07 2477
错误:java.lang.Class cannot be cast to org.apache.rocketmq.acl.AccessValidator 原因:配置文件错误 解决: 原用户名:User 改为: mq_User 即可。原配置文件中的用户名太短。 参考链接:https://github.com/apache/rocketmq/issues/2508 ...
源码分析RocketMQ ACL实现机制
中间件兴趣圈
07-07 3114
有关RocketMQ ACL的使用请查看上一篇《RocketMQ ACL使用指南》,本文从源码的角度,分析一下RocketMQ ACL的实现原理。 备注:RocketMQ在4.4.0时引入了ACL机制,本文代码基于RocketMQ4.5.0版本。 本节目录1、BrokerController#initialAcl2、PlainAccessValidator2.1 类图2.1.2 PlainAc...
扩展知识:RocketMQ 如何开启 ACL 验证
最新发布
超超IT的博客
06-11 928
RocketMQ 在 4.4.0 版本开始支持 ACL 功能,ACL 验证的主要作用就是保证消息的安全性,实现权限控制功能,比如控制可以发送和订阅消息的群体,如某些主题只能被订阅,某些主题只有指定的IP,或者只有携带账号密码才可以订阅和发布等。对于第二个账户rocketmq2,由于设置了admin: true,所以它将拥有对所有资源和主题的访问权限,无论是否在topicPerms或groupPerms中明确指定了权限。同时,它的IP白名单被限制为192.168.1.*。
rocketMQ报错:No accessKey is configured
黎明小书生
11-12 7275
错误: CODE: 1 DESC: org.apache.rocketmq.acl.common.AclException: No accessKey is configured 在broker中配置aclEnable=true之后,消费者生产者可以正常工作!启动rocketmq-console报错! 大概报错信息如下: java.lang.RuntimeException: org.apache.rocketmq.client.exception.MQBrokerException: CODE: 1 D
key rocketmq 有什么用_RocketMQ ACL使用指南
weixin_39813200的博客
12-20 343
目录@(本节目录)1、什么是ACL?ACLaccess control list的简称,俗称访问控制列表。访问控制,基本上会涉及到用户、资源、权限、角色等概念,那在RocketMQ中上述会对应哪些对象呢?用户用户是访问控制的基础要素,也不难理解,RocketMQ ACL必然也会引入用户的概念,即支持用户名、密码。资源资源,需要保护的对象,在RocketMQ中,消息发送涉及的Topic、消息消费涉...
【消息队列】RocketMQ 使用过程中遇到的问题
技术能量站
01-11 3002
一、问题汇总 (1)service not available now, maybe disk full, CL: 1.00 CQ: 1.00 INDEX: 1.00, maybe your broker machine memory too small 问题原因:该报错由于 /store/commitlog文件夹下的日志文件过大造成 df -h 指令查看当前磁盘占用内存情况 rocketmq默认会把剩余磁盘的比率不足75% 当做磁盘空间不足处理 解决办法: 先删除掉/st...
rocketmq-console控制台已增加ACL鉴权和配置控制台登录验证
02-24
RocketMQ Console中引入ACL,意味着管理员可以更精细地控制用户对RocketMQ集群的操作权限。例如,可以设置某些用户只能查看特定主题,而不能创建或删除;或者限制某些用户只能发送消息,而不能消费。这样,通过...
RocketMQ 4.5.2源码
01-22
RocketMQ是阿里巴巴开源的一款分布式消息中间件,广泛应用于大数据、实时计算、微服务等领域。4.5.2版本是其发展中的一个重要里程碑,...在实际开发中,结合源码分析,能够提升系统性能,增强系统的稳定性和可靠性。
ACL权限控制.docx
09-04
在给定的文档中,"ACL权限控制"是一个关键概念,它涉及到如何在软件或插件中实施细粒度的访问控制策略。ACL,全称为Access Control List(访问控制列表),是一种用于定义用户或用户组对系统资源访问权限的方法。在...
rocketmq可视化控制台最新版 rocketmq-console-ng-2.x
04-05
rocketmq可视化控制台最新版
Rocketmq创建topic报错org.apache.rocketmq.acl.common.AclException: [10015:signature-failed] unable to cal
tootsy_you的博客
07-15 4889
RocketMQLog:WARN No appenders could be found for logger (io.netty.util.internal.PlatformDependent0). RocketMQLog:WARN Please initialize the logger system properly. org.apache.rocketmq.tools.command.SubCommandException: UpdateTopicSubCommand command failed
org.apache.rocketmq.client.exception.MQBrokerException: CODE: 1 DESC: the producer group[] not exist
热门推荐
Web+
03-24 1万+
如果生产者发送完调用了producer.shutdown();,mq会移除生产者组,在控制台查看Producer列表,看到的提示找不到生产者组的报错 本地测试可以注释调producer.shutdown();就可以在控制台正常看到如下生产者组,生产环境不能注释 ...
RocketMQ 4.9.4使用(三)开启ACL验证
q283614346的博客
08-26 3377
rocketMQ开启ACL验证
applicationContext
2301_76267999的博客
04-01 608
每年转战互联网行业的人很多,说白了也是冲着高薪去的,不管你是即将步入这个行业还是想转行,学习是必不可少的。作为一个Java开发,学习成了日常生活的一部分,不学习你就会被这个行业淘汰,这也是这个行业残酷的现实。如果你对Java感兴趣,想要转行改变自己,那就要趁着机遇行动起来。或许,这份限量版的Java零基础宝典能够对你有所帮助。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!典**能够对你有所帮助。
java.lang.IllegalArgumentException: secret key byte array cannot be null or empty
baidu_35977222的博客
06-11 370
java.lang.IllegalArgumentException: secret key byte array cannot be null or empty
RocketMQ源码分析ACL
不爱学习的小妞博客
06-09 647
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
[1137]RocketMq安全配置
周小董
04-27 2963
文章目录1、RocketMq服务端安装包下载(官网地址http://rocketmq.apache.org/)2、acl服务端配置开启3、服务开启命令4、使用过程中一些问题5、实际项目应用 RocketMq是一款开源高性能,轻量级,统一消息传递引擎。经受住亿万级高并发的检验。许多企业系统都在使用。在并发削峰,异步处理,应用解耦的等场景都有它的身影。网上文章大多数介绍RocketMq的设计原理,集群配置,项目集成等。安全方面相对比较少,有出现的安全资料,在实际使用上也难走通。企业级系统安全方面也挺重要的,花了
rocketmq源码
07-27
RocketMQ源码结构包括多个模块,其中包括rocketmq-logging、rocketmq-remoting、rocketmq-common、rocketmq-srvutil、rocketmq-aclrocketmq-client、rocketmq-tools、rocketmq-namesrv、rocketmq-store、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值