kafka 2.4 新版 Java Authorizer API解析

最新推荐文章于 2023-08-17 01:06:31 发布
最新推荐文章于 2023-08-17 01:06:31 发布
阅读量574 收藏 1
点赞数
分类专栏: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32176947/article/details/107620540
版权

目录

背景

    kafka 2.4 的release note 除了引入MirrorMaker 2.0 之外,还有一项改动是引入了新的java版的认证API接口。原因是这样的:
    kafka使用scla版的kafka.security.auth.Authorizer的trait来支持可插拔的授权接口。 但是KIP-50中已经同意用“client”模块中的org.apache.kafka.common包中的Java接口和Java ACL类来替换了它,但是之前一直都没有合并。于是社区就就添加了新版的java 授权接口, 这些Java接口能提供比Scala Trait更好的兼容性,能让开发者更容易开发自己的认证模块。

接口方法解析

    新版接口的工作流程是这样的:

  1. 判断是否配置了"authorizer.class.name",如果配置了就实例化一个Authorizer接口
  2. 调用configure()和start()方法,初始化Authorizer接口对应的实现类里的元信息
  3. broker启动socketServer接收请求,调用authorize()方法来处理每一个请求

    如果在配置中实现了Reconfigurable这个类的话还可以动态变更Authorizer 的实现类而不用重启broker,还有三点需要注意的是:

  1. 所有的授权操作和Acl更新必须是线程安全的
  2. Acl 更新操作是异步的,
  3. 也可以在start()方法中定义其他的需要用的线程或者线程池,但是切记在close()方法里关掉他们

    除了上面提到的那些方法,还有下面三个方法
createAcls()和deleteAcls():用来添加和删除Acl
acls():用来获取符合查询条件的Acl

@InterfaceStability.Evolving
public interface Authorizer extends Configurable, Closeable {
    Map<Endpoint, ? extends CompletionStage<Void>> start(AuthorizerServerInfo serverInfo);
    List<AuthorizationResult> authorize(AuthorizableRequestContext requestContext, List<Action> actions);
    List<? extends CompletionStage<AclCreateResult>> createAcls(AuthorizableRequestContext requestContext, List<AclBinding> aclBindings);
    List<? extends CompletionStage<AclDeleteResult>> deleteAcls(AuthorizableRequestContext requestContext, List<AclBindingFilter> aclBindingFilters);
    Iterable<AclBinding> acls(AclBindingFilter filter);
}

实现类AclAuthorizer解析

kafka2.4中同样提供了一个"SimpleAclAuthorizer"的实现,只不过这次它去掉了Simple,就叫"AclAuthorizer",功能和SimpleAclAuthorizer基本一样,只是实现方式变了,可以看下具体的方法:

start方法

    好像什么也没干

  override def start(serverInfo: AuthorizerServerInfo): util.Map[Endpoint, _ <: CompletionStage[Void]] = {
    serverInfo.endpoints.asScala.map { endpoint =>
      endpoint -> CompletableFuture.completedFuture[Void](null) }.toMap.asJava
  }

configure方法

    在configure方法里读取了kafka的配置,生成了zk的客户端和aclChangeListeners(用来感知zk节点变化,若有变化,则更新acl的cache),并通过loadCache()加载了zk中已经有 的权限。

  override def configure(javaConfigs: util.Map[String, _]): Unit = {
    val configs = javaConfigs.asScala
    val props = new java.util.Properties()
    configs.foreach { case (key, value) => props.put(key, value.toString) }

    superUsers = configs.get(AclAuthorizer.SuperUsersProp).collect {
      case str: String if str.nonEmpty => str.split(";").map(s => SecurityUtils.parseKafkaPrincipal(s.trim)).toSet
    }.getOrElse(Set.empty[KafkaPrincipal])

    shouldAllowEveryoneIfNoAclIsFound = configs.get(AclAuthorizer.AllowEveryoneIfNoAclIsFoundProp).exists(_.toString.toBoolean)

    // Use `KafkaConfig` in order to get the default ZK config values if not present in `javaConfigs`. Note that this
    // means that `KafkaConfig.zkConnect` must always be set by the user (even if `AclAuthorizer.ZkUrlProp` is also
    // set).
    val kafkaConfig = KafkaConfig.fromProps(props, doLog = false)
    val zkUrl = configs.get(AclAuthorizer.ZkUrlProp).map(_.toString).getOrElse(kafkaConfig.zkConnect)
    val zkConnectionTimeoutMs = configs.get(AclAuthorizer.ZkConnectionTimeOutProp).map(_.toString.toInt).getOrElse(kafkaConfig.zkConnectionTimeoutMs)
    val zkSessionTimeOutMs = configs.get(AclAuthorizer.ZkSessionTimeOutProp).map(_.toString.toInt).getOrElse(kafkaConfig.zkSessionTimeoutMs)
    val zkMaxInFlightRequests = configs.get(AclAuthorizer.ZkMaxInFlightRequests).map(_.toString.toInt).getOrElse(kafkaConfig.zkMaxInFlightRequests)

    val zkClientConfig = AclAuthorizer.zkClientConfigFromKafkaConfigAndMap(kafkaConfig, configs)
    val time = Time.SYSTEM
    zkClient = KafkaZkClient(zkUrl, kafkaConfig.zkEnableSecureAcls, zkSessionTimeOutMs, zkConnectionTimeoutMs,
      zkMaxInFlightRequests, time, "kafka.security", "AclAuthorizer", name=Some("ACL authorizer"),
      zkClientConfig = zkClientConfig)
    zkClient.createAclPaths()

    extendedAclSupport = kafkaConfig.interBrokerProtocolVersion >= KAFKA_2_0_IV1

    // Start change listeners first and then populate the cache so that there is no timing window
    // between loading cache and processing change notifications.
    startZkChangeListeners()
    loadCache()
  }

authorize方法

    authorize方法应该是直接调用了authorizeAction(),在这个方法里Authorizer从AuthorizableRequestContext中获取了请求的principal和host;从Action中获取了resource和operation。
鉴权流程是这样的:

  1. 判断是否超级用户,是则直接返回AuthorizationResult.ALLOWED
  2. 调用matchingAcls获取对应resource的所有权限,这里和之前的版本不一样的就是多了literal匹配和前缀匹配
  3. 判断是否配置了allow.everyone.if.no.acl.found,如果该资源没有配置任何权限,且该配置打开,则返回AuthorizationResult.ALLOWED
  4. 判断是否匹配上了DENY类的权限,若有,则直接返回AuthorizationResult.DENIED
  5. 判断是否匹配上了ALLOW类的权限,若有,则直接返回AuthorizationResult.ALLOWED
  private def authorizeAction(requestContext: AuthorizableRequestContext, action: Action): AuthorizationResult = {
    val resource = action.resourcePattern
    if (resource.patternType != PatternType.LITERAL) {
      throw new IllegalArgumentException("Only literal resources are supported. Got: " + resource.patternType)
    }

    // ensure we compare identical classes
    val sessionPrincipal = requestContext.principal
    val principal = if (classOf[KafkaPrincipal] != sessionPrincipal.getClass)
      new KafkaPrincipal(sessionPrincipal.getPrincipalType, sessionPrincipal.getName)
    else
      sessionPrincipal

    val host = requestContext.clientAddress.getHostAddress
    val operation = action.operation

    def isEmptyAclAndAuthorized(acls: Set[AclEntry]): Boolean = {
      if (acls.isEmpty) {
        // No ACLs found for this resource, permission is determined by value of config allow.everyone.if.no.acl.found
        authorizerLogger.debug(s"No acl found for resource $resource, authorized = $shouldAllowEveryoneIfNoAclIsFound")
        shouldAllowEveryoneIfNoAclIsFound
      } else false
    }

    def denyAclExists(acls: Set[AclEntry]): Boolean = {
      // Check if there are any Deny ACLs which would forbid this operation.
      matchingAclExists(operation, resource, principal, host, DENY, acls)
    }

    def allowAclExists(acls: Set[AclEntry]): Boolean = {
      // Check if there are any Allow ACLs which would allow this operation.
      // Allowing read, write, delete, or alter implies allowing describe.
      // See #{org.apache.kafka.common.acl.AclOperation} for more details about ACL inheritance.
      val allowOps = operation match {
        case DESCRIBE => Set[AclOperation](DESCRIBE, READ, WRITE, DELETE, ALTER)
        case DESCRIBE_CONFIGS => Set[AclOperation](DESCRIBE_CONFIGS, ALTER_CONFIGS)
        case _ => Set[AclOperation](operation)
      }
      allowOps.exists(operation => matchingAclExists(operation, resource, principal, host, ALLOW, acls))
    }

    def aclsAllowAccess = {
      //we allow an operation if no acls are found and user has configured to allow all users
      //when no acls are found or if no deny acls are found and at least one allow acls matches.
      val acls = matchingAcls(resource.resourceType, resource.name)
      isEmptyAclAndAuthorized(acls) || (!denyAclExists(acls) && allowAclExists(acls))
    }

    // Evaluate if operation is allowed
    val authorized = isSuperUser(principal) || aclsAllowAccess

    logAuditMessage(requestContext, action, authorized)
    if (authorized) AuthorizationResult.ALLOWED else AuthorizationResult.DENIED
  }

createAcls

    先根据传入的List<AclBinding>获取一个aclsToCreate,获取写锁之后,逐条更新Acl,并将newAcls和CurrentAcls的两个list进行合并。返回给上层。

CarbonDioxide12138
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flink+KafkaJavaAPI应用
05-30
此案例使用的是IDEA开发工具,项目属于maven项目 使用JavaAPI操作Flink的流处理,Flink从Kafka中获取数据,执行处理后再执行输出。 根据(《Flink入门与实战》徐葳著)教材最后的综合案例改变,适合没有学习不会使用Flume的人使用
Kafka 权限管理实战(最全整理)
微信公众号:大数据从业者
09-19 2957
一、概述 1、Kafka的权限分类 1)、身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。 2)、权限控制(Authorization):实现对于消息级别的权限控制,cli...
Kafka2.6版本权限认证
zhaojinweiwei1993的博客
04-26 2475
Kafka2.6版本权限认证
Kafka3.3单机模式-Windows-SASL/PLAIN身份验证-使用自带zookeeper
weixin_68970731的博客
11-04 2014
kafka3.x版本单机模式下的sasl/plain权限设置,包含zk的权限设置、topic的权限设置、group的权限设置等
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 7843
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
kafka快速配置启用ACL示例
程序猿的樊笼
08-30 2774
前言 kafka支持基于SSL和SASL两种认证机制,本文以SASL说明。 kafka支持的SASL机制有5种:GSSAPI、PLAIN、SCRAM、OAUTHBEARER、Delegation Token。 本文使用SCRAM认证方式:一种通过用户名/密码的认证机制,可以动态增加和删除(PLAIN也是用户名/密码认证,但是写死在配置文件,增加新配置需要重启) kafka版本我现在用的是从github trunk分支拉的最新代码,启动的版本信息如下: Starting build with ve
Kafka3.0 SASL安全认证
binter12138的博客
04-20 6632
下面主要介绍Kafka两种认证方式 kafka验证方式: SASL/PLAIN:不能动态添加用户配置文件写死账号密码 SASL/SCRAM: 可以动态的添加用户 SASL/PLAIN方式 cd /usr/local/kafka/kafka_2.12-3.0.1/bin/ ## 复制一份sasl cp kafka-server-start.sh kafka-server-start-sasl.sh 在kafka-server-start-sasl.sh 末尾修改配置 exe
Kafka Mirror Maker(二十九)
用键盘与世界交流
12-13 2118
Kafka Mirror Maker Kafka Mirror Maker 是用于在两个集群之间同步数据的一个工具,其实现原理是通过从源集群中消费消息,然后将消息生产到目标集群中,也就是普通的生产和消费消息。如果了解 RabbitMQ,那么会发现这个工具和 RabbitMQ 中的数据迁移插件 Federation/Shovel 的实现原理如出一辙。用户只需要在启动 Kafka Mirror Maker 时指定一些简单的消费端和生产端配置就可以实现准实时的数据同步。 ...
Kafka——MirrorMaker详解
吴声子夜歌的博客
08-17 1490
对于Kafka企业级用户而言,一个常见的痛点就是跨机房或跨数据中心(data center,DC)的数据传输。大型企业通常在多个数据中心部署Kafka集群。.这里的数据中心可能是企业拥有的自建机房,也可能是公有云厂商的不同机房。在多个机房部署Kafk集群的优势如下。实现灾备。较近的地理位置可缩短延时以及用户响应时间。实现负载均衡,即每个数据中心上的集群可能只保存部分数据集合。区别隔离不同优先级的数据处理。
2、java调用kafka api
05-29
2、java调用kafka api 网址:https://blog.csdn.net/chenwewi520feng/article/details/130577664 本分介绍java调用kafka api。 本文前置条件是kafka环境搭建好。 本分五部分,即简单的写数据到kafka、从topic中消费...
KafkaDemo:kafka Java API
05-18
#Kafka Java API案例Producer可选配置,如果不配置,则使用默认的partitioner根据key值value映射到指定的Parition props.put("partitioner.class", "kafka.demo.PartitionerDemo");ConsumerString key=(String)obj; ...
kafka-java-api-lab
02-12
该项目包含通过Java API使用Kafka的不同示例。 关于kafka的信息 话题 主题在文件中包含日志更改消息。 拓扑由至少一个分区组成。 消息由键和值组成。 消息分布在分区中,分布是通过算法完成的。 该算法可循环,...
TimingWheel:Kafka时轮的Java实现
05-02
计时轮Kafka时轮的Java实现
kafka只让Producer自动创建Topic同时禁止consumer自动创建Topic
CarbonDioxide12138的博客
07-02 8416
kafka只让Producer自动创建Topic背景操作后记 背景     最近我们要做从mysql 到大数据平台的数据流转,定下的方案是maxwell同步binlog到kafka中,再由flink消费kafka的数据写往kudu里,最后利用kudu和hive利用impala提供的视图作统一查询,其中kudu保留近七天的数据,七天前数据滚动下沉到hive表。     maxwell实例和kafka topic的对应关系是一个ma
kafka集群安全化之启用kerberos与acl
CarbonDioxide12138的博客
03-25 4871
一、背景在我们部署完kafka之后,虽然我们已经可以“肆意”的用kafka了,但是在一个大公司的实际生产环境中,kafka集群往往十分庞大,每个使用者都应该只关心自己所负责的Topic,并且对其他人所使用的Topic没有权限。这样一来可以将资源隔离开来,二来可以防止误操作。在权限控制之前,我们必须要启用的就是用户认证,没有用户,自然没有权限一说了。二、kafka启用kerberos认证2.1 在K...
修改源码使kafka-console-consumer.sh支持从指定时间开始消费
CarbonDioxide12138的博客
06-29 2678
目录背景解决方案方案1-用Java新开发一个的消费工具方案2-修改kafka源码,利用kafka-console-consumer.sh方案2-flinkSQL 或 kafka SQL环境准备修改代码打包测试 背景        有业务方向我们提出,自从我们给kafka集群启用权限和认证之后,他们在排错过程就十分不方便了,以前他们换一个消费组就可以重新消费数据了,现在每换一个消费组都需要重新由我们给他们授权,碰到有时不在工位的时候,就只能干着急了;第二,我们kafka
kafka 启动时提示 /brokers/ids/1001 is: NODEEXISTS
CarbonDioxide12138的博客
07-21 1761
背景: 通过ambari安装kafka之后,两台broker能正常启动,一台无法正常启动 知识介绍: broker id是broker的唯一标识,不能和其他broker冲突 在kafka有两种配置方式broker.id的方式 1.手动指定broker.id=1001 2.通过配置 broker.id.generation.enable=true,让服务器自动生成 生成逻辑如下: a.获取reserved.broker.max.id的值(默认为1
kafka connector 中的轻量级ETL-transfomation功能介绍
CarbonDioxide12138的博客
11-12 835
kafka connector的使用中,可能因为各种原因(业务原因、connector需要key或者schema等)需要用到transfomation,处理消息的内容。下面列举了kafka connector 自带的transfomation的功能,帮助大家了解一下,当然有能力也可以自己开发transfomation组件。 功能 转换器名称 转换器类型 独有配置 对应功...
flink+kafkajavaapi应用
最新发布
12-09
Flink是一个开源的流处理框架,而Kafka是一个分布式消息队列系统。在Flink中使用KafkaJava API可以实现将Kafka中的数据作为输入源或将处理结果输出到Kafka中。 在Flink中使用Kafka Java API的步骤通常如下: 1. 引入Kafka的依赖:首先需要将KafkaJava API的依赖添加到Flink的工程中。 2. 创建Kafka消费者:使用KafkaJava API创建一个消费者实例,可以指定消费者的一些配置如Kafka的地址、消费者组ID等。通过调用消费者的`assign()`方法或`subscribe()`方法来指定要消费的Kafka主题。 3. 创建Flink的DataStream:使用Flink的DataStream API实例化一个用于接收Kafka数据的DataStream对象。可以使用`addSource()`方法来将Kafka消费者作为数据源。可以在创建DataStream时指定Kafka消息的反序列化方式、数据类型等。 4. 执行数据处理逻辑:可以在DataStream上应用各种Flink的算子,如map、filter、reduce等,对Kafka中的数据进行处理。 5. 创建Kafka生产者:使用KafkaJava API创建一个生产者实例,可以指定生产者的一些配置。通过调用生产者的`send()`方法将处理后的结果数据发送到Kafka中。 6. 提交任务并启动Flink作业:将处理逻辑应用到Flink的任务上,并将任务提交给Flink集群进行执行。 通过以上步骤,就可以在Flink中使用KafkaJava API进行数据的输入和输出。这种方式将Kafka作为Flink的一个数据源或数据目的,使得数据可以在流处理中被实时地处理和分析。同时,由于Kafka的分布式特性,也可以保证数据的可靠性和高吞吐量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值