zookeeper权限控制

最新推荐文章于 2024-07-25 16:12:39 发布
最新推荐文章于 2024-07-25 16:12:39 发布
阅读量966 收藏
点赞数
分类专栏: zookeeper 运维 文章标签: zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24675765/article/details/109137174
版权

ACL:zookeeper对权限的控制是znode级别的,不具有继承性,即子节点不继承父节点的权限。这种设计在使用上还是有缺陷的,因为很多场景下,我们还是会把相关资源组织一下,放在同一个路径下面,这样就会有对一个路径统一授权的需求。

1.权限列表:

  1. read读
  2. write 
  3. create 创建
  4. detele 删除
  5. admin 管理

 

  1. 控制方式(schema)
  2. IP方式:通过IP地址粒度进行权限控制模式
  3. digest: digest是最常用的权限控制模式,采用username:password形式进行权限管理,ZK会对形成的权限标识后进行两次加密处理,分别是SHA-1加密算法和Base64编码
  4. world:world是一种最开放的控制模式,任何人都可以访问(默认)
  5. auth:不适用任何id,代表任何已认证的用户

 

3.使用详情

对zookeeper设置ACL属性,我们以zkCli为例,来说明zookeeper对ACL的设置。使用zkCli时,ACL的格式由<schema>:<id>:<acl>三段组成。

  • schema:可以取下列值:world, auth, digest, host/ip
  • id: 标识身份,值依赖于schema做解析。
  • acl:就是权限:cdwra分别表示create, delete,write,read, admin

1) schema world

这是默认方式,表示没有认证。当创建一个新的节点(znode),而又没有设置任何权限时,就是这个值,例如:

[zk: localhost:2181(CONNECTED) 18] create /acltest 'noacl'

Created /acltest 

[zk: localhost:2181(CONNECTED) 19] getAcl /acltest 

'world,'anyone: cdrwa

看到/acltest的ACL属于就是world schema的,因为它没有设置ACL属性,这样任何人都可以访问这个节点。

如果要手工设置这个属性,那么此时的id域只允许一个值,即anyone,格式如下:

setAcl /newznode world:anyone:crdwa

2) schema auth

这种授权不针对任何特点ID,而是对所有已经添加认证的用户,换句话说,就是对所有已经通过认证的用户授权。

用法如下:

addauth digest <user>:<password> 

setAcl <path> auth:<id>:<acl>

注意:比须要先添加认证用户,否则会失败呢。如下所示:

[zk: localhost:2181(CONNECTED) 0] create /test 'test'

[zk: localhost:2181(CONNECTED) 1] setAcl /test auth::crdwa

Acl is not valid : /test

setAcl命令中的id域是被忽略的,可以填任意值,或者空串,例如:setAcl <path> auth::crdwa。因为这个域是忽略的,会把所有已经添加的认证用户都加进来。

举例:

[zk: localhost:2181(CONNECTED) 2] addauth digest tom1:tom1[zk: localhost:2181(CONNECTED) 3] addauth digest tom2:tom2[zk: localhost:2181(CONNECTED) 4] addauth digest tom3:tom3[zk: localhost:2181(CONNECTED) 5] setAcl /test auth:tom2:crdwa[zk: localhost:2181(CONNECTED) 6] getAcl /test'digest,'tom1:ben+k/3JomjGj4mfd4fYsfM6p0A=: cdrwa'digest,'tom2:2iJM00A7+qkeKdEXt8Bhgq+IACw=: cdrwa'digest,'tom3:TAZPWLs6IaYRS8mlvcfyCOwyBJ8=: cdrwa

这个例子中,我们先添加了三个认证用户tom1,tom2,tom3,然后通过setAcl设置ACL,命令中指定了id为tom2,根据前面的说法,这个id值是被忽略的,写任何值,甚至空值也得到一样的结果。我们看到最后getAcl查询出来的结果包含所有前面添加的三个认证用户。

补充说明:zkCli的命令addauth digest user:pwd是用来添加当前上下文中的认证用户的:

addauth digest user1:password1(明文)

[zk: localhost:2181(CONNECTED) 1] setAcl /test auth::crdwa

Acl is not valid : /test

  1. 在auth setAcl之后再使用addauth添加的认证用户是没有acl权限的,必须重新执行auth setAcl来设置权限。
  2. 使用addauth添加的认证用户只在当前会话(session)有效,如果此时在另外一个会话中,不添加对应的认证用户,那么就没有相应访问权限的,而且如果再使用auth setAcl来设置acl权限,则会覆盖之前的acl权限信息,而且只会针对当前会话中的认证用户来设置acl权限。

所以这种授权方式更倾向于用作测试开发环境,而不是产品环境中。

3) schema digest

这就是最普通的用户名:密码的验证方式,在一般业务系统中最常用。
格式如下:

setAcl <path> digest:<user>:<password(密文)>:<acl>

和schema auth相比,有两点不同:

  1. 第一不需要预先添加认证用户(但是在zkCli访问的时候,肯定还是要添加认证用户的)。
  2. 第二密码是经过sha1及base64处理的密文。

密码可以通过如下shell的方式生成:

echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64

例如:

echo -n root:root | openssl dgst -binary -sha1 | openssl base64

qiTlqPLK7XM2ht3HMn02qRpkKIE=

或者可以使用zookeeper的库文件生成

注意,只有通过zkCli.sh设置digest的ACL时id才需要密文,而通过zookeeper的客户端设置digest的ACL时对应的auth数据是明文。这个属于编码实现的问题了。

和auth比较,digest有如下特性:

  1. setAcl不需要事先添加认证用户。
  2. 授权是针对单个特定用户。
  3. setAcl使用的密码不是明文,是sha1摘要值,无法反推出用户密码内容。

4) schema host/ip

就是客户机地址,或者是主机名、或者是IP地址。
主机名可以是单个主机名,也可以是域名。IP可以是单个IP地址,也可以是IP地址段,比如ip:192.168.1.0/16。

 

周周周啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zookeeper客户端基本命令
liuerchong的博客
03-30 941
创建节点,create [-s] [-e] [-c] [-t ttl] path [data] [acl] 节点类型 | 类型 | 描述 | |:----|:----| | PERSISTENT | 持久节点 | | PERSISTENT_SEQUENTIAL | 持久序号节点 | | EPHEMERAL | 临时节点(不可在拥有子节点) | | EPHE...
Zookeeper基础配置
吒哇
03-20 673
Zookeeper基础 单基部署 先把ZK安装起来,后面的很多操作,都是的前提都是由ZK的操作环境,先来把ZK安装好, Zookeeper windows环境安装 环境要求:必须要有jdk环境,本次讲课使用jdk1.8 1.安装jdk 2.安装Zookeeper. 在官网http://zookeeper.apache.org/下载zookeeper.我下载的是...
zk 权限控制
zhongzunfa的专栏
07-11 6487
1、 zk权限介绍 1) ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写) 注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。 2) 身份的认证有4种方式: world:默认方式,相当于全世界都能访问 auth:代表...
zookeeper digest授权方式
54MD的博客
02-12 7921
将要设置的密码进行base64编码 &gt;&gt;echo -n test:test | openssl dgst -binary -sha1 | openssl base64 &gt;&gt;V28q/NynI4JI3Rk54h0r8O5kMug= [zk: localhost:2181] create /digest user [zk: localhost:2181] setAcl /...
ZK/zookeeper常规命令 | Watch监控命令的使用 | ACL权限操作 | Four Letter Words四字命令详解 | 配置super超级用户权限 | 总结的很全面,你会喜欢吗
血煞长虹 的专栏
12-08 8580
文章力求用最精简的语言,全面系统的介绍了zk各种命令的使用,这些命令都很重要,可以不用完全熟记,但是不可不知,温故而知新。 get set 是一些常规操作命令,Watch命令用来监听节点的各种变化(java项目实战用的比较多),nc命令有时候也不可或缺,比如dump命令。 全文根据命令的分类:常规、watch监控、Acl权限、nc四字命令,共分为四大章节。可更加目录,快速定位查看。
zookeeper权限控制详解
langzi989的专栏
12-28 4361
文章目录1、预备知识1.1 权限列表1.2 ACL权限特点1.3 权限相关命令2、添加认证用户:addauth3、 设置znode节点操作权限命令:SetAcl4、 设置节点权限命令中节点权限详解4.1 world ACL授权策略4.2 ip ACL授权策略4.3 auth ACL授权策略4.4 digest Acl授权策略4.5 authdigest权限控制区别 本文zookeeper权限控制...
Zookeeper权限控制
tycoon的专栏
08-18 667
package org.I0Itec.zkclient;  import java.util.ArrayList; import java.util.List;  import org.apache.zookeeper.WatchedEvent; import org.apache.zookeeper.Watcher; import org.apache.zookeeper.ZooDefs.Ids
springboot整合zookeeper权限控制.zip
06-18
在实际项目中,这个文件可能包含了Zookeeper权限控制的具体实现,包括配置文件、Java代码等。 总的来说,整合Spring Boot和Zookeeper权限控制,需要理解Zookeeper的认证机制,通过Spring的`CuratorFramework`来...
Zookeeper权限控制代码
09-13
Zookeeper权限控制是Apache ZooKeeper系统中的一个重要特性,它允许管理员和用户对Zookeeper的数据节点进行细粒度的访问控制,以确保数据的安全性。在Java开发中,理解和使用Zookeeper权限控制对于构建分布式系统...
ZooKeeper权限控制样例程序
01-22
ZooKeeper权限控制样例程序,配合文档:http://blog.csdn.net/nileader/article/details/43014541
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
zookeeper配置相应的acl权限
08-29
Zookeeper 权限控制 Zookeeper 使用 ACL(Access Control List)来控制访问 Znode,ACL 的实现和 UNIX 的实现非常相似:它采用权限位来控制哪些操作被允许,哪些操作被禁止。但是和标准的 UNIX 权限不同的是,...
zookeeper节点的scheme是digest时,怎么把明文密码转换为密文 | 如何获取加密后的digetst密码
血煞长虹 的专栏
12-09 2274
zookeeper中,我们添加一个节点时,通常要赋予节点ACL权限,一般我们会给最大权限Ids.CREATOR_ALL_ACL。 然而,有时需要控制一下节点的访问权限,此时的scheme就应该是digest而不是word,此时就需要使用密文,这个时候就需要使用上面的AclUtils工具转换一下。
Zookeeper基础常用操作以及ACL权限
qq_40874285的博客
08-14 1763
这次将Zookeeper的一些基础用法以及权限这块的都补充一下在这篇博客中。 上篇博客介绍了基于ZooKeeper实现的分布式锁,也介绍了一些ZooKeeper的节点类型以及监听机制,今天这里就不作过多的介绍了,大家也可以自行的去官方文档上看看更具体的介绍ZooKeeper官方链接 会话 会话(session)是zookepper非常重要的概念,客户端和服务端之间的任何交互操作都与会话有关, 客户端与服务端的一次会话连接,本质是TCP长连接,通过会话可以进行心跳检测和数据传输: 看下这图,Z.
1.Zookeeper特性与节点数据类型详解
Zhuxiaoyu_91的博客
06-20 2932
和持久节点的区别是 ZK 服务端启动后,会有一个单独的线程去扫描,所有的容器节点,当发现容器节点的子节点数量为 0 时,会自动删除该节点。PERSISTENT_RECURSIVE,持久化递归订阅(默认),在PERSISTENT的基础上,增加了子节点修改的事件触发,以及子节点的子节点的数据变化都会触发相关事件(满足递归订阅特性)数据发布/订阅的一个常见的场景是配置中心,发布者把数据发布到 ZooKeeper 的一个或一系列的节点上,供订阅者进行数据订阅,达到动态获取数据的目的。3.3.0版本引入的。
zookeeper C API client 如何设置digest鉴权验证
神神秘秘
04-08 401
为 /1 目录添加权限,目录可以任意指定,只对当前目录起作用。root可以理解为明文用户,cdwra含义为缩写。c 可以创建子节点, d 可以删除子节点(仅下一级节点), r 可以读取节点数据及显示子节点列表,w 可以设置节点数据, a 可以设置节点访问控制列表权限。其中digest是scheme,root:111是id (credential,root可以理解为明文用户,111可以理解为明文密码) :perm。该函数执行成功后,即可访问需要鉴权验证的目录。path填写需要设置权限的路径。
zookeeper——权限控制ACL
保暖透气大裤衩LeoLee的博客
04-10 472
概述 ACL,全称:access control list,与linux系统对文件的权限控制类似,主要涵盖三个方面: 权限模式(scheme):授权的策略 授权对象(id):anyone、ip地址 权限(permission) 特点如下: zookeeper权限控制是基于每个znode节点的,对每个节点设置权限 每个znode支持设置多种权限控制方案核多个权限 子节点不会继承父节点的权限,客户端无权访问某节点,但是可以访问它的子节点。 授权模式 world:默认授权模式,代表登录zooke
深入浅出Zookeeper
fang6363938的博客
02-05 331
ZooKeeper 是一个分布式协调服务,由 Apache 进行维护。 ZooKeeper 可以视为一个高可用的文件系统。 ZooKeeper 可以用于发布/订阅、负载均衡、命令服务、分布式协调/通知、集群管理、Master 选举、分布式锁和分布式队列等功能 。 一、ZooKeeper 简介 1.1 ZooKeeper 是什么 ZooKeeper 是 Apache 的顶级项目。ZooKeeper 为分布式应用提供了高效且可靠的分布式协调服务,提供了诸如统一命名服务、配置管理和分布式锁等分布式..
Zookeeper源码剖析-启动类
最新发布
program哲学
07-25 141
本文详细剖析Zookeeper启动类相关源码
Zookeeper权限控制是否支持细粒度的权限设置?
01-03
Zookeeper权限控制是支持细粒度的权限设置的。它提供了ACL(Access Control List)权限控制机制,可以对任意用户和组进行细粒度的权限控制。 ACL权限控制是一种比较新颖且更细粒度的权限管理方式。通过ACL,可以为每个节点设置不同的权限,包括读取(read)、写入(write)、创建(create)、删除(delete)等操作。可以根据需要为不同的用户或组分配不同的权限,从而实现对Zookeeper的细粒度权限控制。 除了Zookeeper提供的默认权限模式外,还可以通过指定方式对Zookeeper权限进行扩展,将自定义的权限控制方式插入到Zookeeper权限体系中,进一步满足特定需求。 总结来说,Zookeeper权限控制支持细粒度的权限设置,可以根据需要对每个节点进行不同的权限配置,实现对Zookeeper的精细化权限管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值