使用ZooKeeper ACL特性进行znode控制

最新推荐文章于 2023-11-23 19:40:16 发布
最新推荐文章于 2023-11-23 19:40:16 发布
阅读量352 收藏
点赞数
文章标签: java  zookeeper 编程语言 程序员
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44195108/article/details/88088499
版权

Zookeeper作为配置管理服务,因为配置数据有很高的安全要求,需要有权限控制,客户端需要进行登录认证才操作(查看数据,修改数据,创建children znode等等)Zookeeper上面对应znode。

1. 简单的客户端认证zkcli.sh命令如下:

[zk: localhost:2181(CONNECTED) 23] ls /tom
Authentication is not valid : /tom

#添加认证之后,即可查看znode /tom

[zk: localhost:2181(CONNECTED) 27] addauth digest tom:tom
[zk: localhost:2181(CONNECTED) 28] ls /tom
[]

2. Zookeeper提供的认证方式

Zookeeper对权限的控制是znode级别的,不继承即对父节点设置权限,其子节点不继承父节点的权限。
world:有个单一的ID,anyone,表示任何人。
auth:不使用任何ID,表示任何通过验证的用户(验证是指创建该znode的权限)。
digest:使用 用户名:密码 字符串生成MD5哈希值作为ACL标识符ID。权限的验证通过直接发送用户名密码字符串 的方式完成,
ip:使用客户端主机ip地址作为一个ACL标识符,ACL表达式是以 addr/bits 这种格式表示的。ZK服务器会将addr的前bits位与客户端地址的前bits位来进行匹配验证权限。

3. auth认证方式

Perm:ALL, Id:(“auth”,"") 即创建者拥有访问权限。

/auth的数据是“auth”, auth认证方式,读写权限。

[zk: localhost:2181(CONNECTED) 37] create /auth auth auth::rw
Created /auth

查看/auth的访问控制列表可以看出需要通过digest模式用户名密码是tom/tom认证才可以访问,不对id做限制。

[zk: localhost:2181(CONNECTED) 42] getAcl /auth
'digest,'tom:GcSMsIa2MmdW+zdSJKAv8gcnrpI=
: rw

成功的认证:

[zk: localhost:2181(CONNECTED) 0] ls /auth    
Authentication is not valid : /auth
[zk: localhost:2181(CONNECTED) 1] addauth digest tom:tom
[zk: localhost:2181(CONNECTED) 2] ls /auth
[]

失败的认证:

[zk: localhost:2181(CONNECTED) 2] addauth digest supper:admin
[zk: localhost:2181(CONNECTED) 3] ls /auth
Authentication is not valid : /aut

4.通过zkCli.sh 创建znode,并设置ACL

4.1 创建设置ACL的znode

图1 - 用户/密码super/admin创建/supper:

图2-用户/密码tom/tom创建/tom:

图3-查看/supper和/tom的ACL:

4.2 使用如下代码来生成用户名和密码的摘要:
···
java -cp $ZK_CLASSPATH
org.apache.zookeeper.server.auth.DigestAuthenticationProvider amy:secret

amy:secret->amy:Iq0onHjzb4KyxPAp8YWOIC8zzwY=

···
注:在启动Zookeeper服务是指定

-Dzookeeper.DigestAuthenticationProvider.superDigest=super:<base64encoded(SHA1(password))
将启用超级用户,通过该supper:密码认证的客户端访问将不受ACL列表限制。

5. 客户端验证

5.1验证supper/admin

ZooKeeper zooKeeper1 = new ZooKeeper("192.168.88.153:2181", 10000, new Watcher() {
    @Override
    public void process(WatchedEvent event) {
        System.out.println(event);
    }
});
//zooKeeper1.addAuthInfo("digest", "supper:admin".getBytes());
Stat stat = new Stat();
byte[] supperData = zooKeeper1.getData("/supper", true, stat);
System.out.println(new String(supperData) + "," + stat);
 运行上面代码,读(r)znode "/supper" :

 wKioL1XURobjrdJSAAFoTF3wkLo594.jpg

去掉注释代码,为客户端添加认证信息之后:

0,8589940093,8589940093,1439970090902,1439970090902,0,0,0,0,1,0,8589940093
数据是0,符合4中图1设置的值。

5.2验证tom/tom

ZooKeeper zooKeeper2 = new ZooKeeper("192.168.88.153:2181", 10000, new Watcher() {
    @Override
    public void process(WatchedEvent event) {
        System.out.println(event);
    }
});
zooKeeper2.addAuthInfo("digest", "tom:tom".getBytes());
stat = new Stat();
byte[] tomData = zooKeeper2.getData("/tom", true, stat);
System.out.println(new String(tomData) + "," + stat);

结果似同5.1.

通过zkCli.sh客户端连接,认证和读取

6.使用zkCli.sh 验证acl(点击查看大图)

Zookeeper提供的权限信息表:

7:注意问题:

7.1 通过zkCli.sh设置acl的格式是scheme?perm,perm的写法是简写字母连接,如读写权限rw和Linux的文件系统的权限相似。有些版本可能是:READ|WRITE, 所以需要注意命令行提示信息。

7.2 通过zkCli.sh设置acl时,scheme是digest的时候,id需要密文,具体生成参见文4.2

7.3 通过Zookeeper的客户端编码方式添加认证,digest对应的auth数据是明文,参见文5.1

8.Zookeeper认证的扩展

实现AuthenticationProvider接口提供自定义的认证方式。

org.apache.zookeeper.server.auth.AuthenticationProvider

比如自定义实现AuthenticationProvider类是secondriver.MyProvier,可以通过两种方式注册Zookeeper认证体系中去。

第一种:启动Zookeeper服务是通过-Dzookeeper.authPorivder.X=secondriver.MyProvider

第二种:添加到配置文件(zoo.conf)中如:

zookeeper.authProvider.1=secondriver.MyProvider

注:上面X是对authProvider实现提供编号用来区别不同的authProvider。

end

顺便在此给大家推荐一个Java方面的交流学习群:957734884,里面会分享一些高级面试题,还有资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系,主要针对Java开发人员提升自己,突破瓶颈,相信你来学习,会有提升和收获。在这个群里会有你需要的内容 朋友们请抓紧时间加入进来吧

在这里插入图片描述

库克look
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入解析Zookeeper:核心特性与节点类型全景剖析
12-16
除了基本操作,Zookeeper 还提供了ACL(Access Control List)权限控制,允许设置针对不同用户或IP的读写权限,增强了系统的安全性。同时,Zookeeper 内存中的数据可以通过持久化机制保存到磁盘,以防止数据丢失,...
javazookeeper简单使用
08-29
ZooKeeper作为一个分布式协调服务,它提供了一种树状的数据模型,每个节点(ZNode)都有唯一的路径标识,可以存储少量数据和权限控制信息(ACL)。ZNode的权限控制与Unix文件系统不同,每个ZNode的权限独立,不继承...
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4344
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
ZooKeeper : Curator框架ZnodeACL API介绍
kaven
12-03 2440
ZooKeeper : Curator框架ZnodeACL API介绍 在之前的博客中,博主介绍了Curator框架的重试策略和Session API,并且对namespace进行了原理分析: ZooKeeper : Curator框架重试策略和Session API介绍 ZooKeeper : Curator框架namespace原理分析 博主使用的Curator框架版本是5.2.0,ZooKeeper版本是3.6.3(5.2.0版本的Curator使用3.6.3版本的ZooKeeper,因此它们是
Zookeeper详解(三):Zookeeper中的Znode特性
weixin_33895604的博客
11-25 291
数据模型ZK拥有一个命名空间就像一个精简的文件系统,不同的是它的命名空间中的每个节点拥有它自己或者它下面子节点相关联的数据。ZK中必须使用绝对路径也就是使用“/”开头。ZnodeZK目录树中每个节点对应一个Znode。每个Znode维护这一个属性,当前版本、数据版本、建立时间和修改时间等,看下图:ZK就是使用这些属性来实现特殊功能的。当一个客户端要对某个节点进行修改时,必须...
ZooKeeperJava客户端Session、ACL、Znode API介绍
kaven
11-21 1271
ZooKeeperJava客户端API介绍 前期回顾: ZooKeeper :Shell脚本搭建单机版ZooKeeper ZooKeeper :重要概念 & 客户端命令介绍 ZooKeeper :搭建ZooKeeper集群 ZooKeeper :Nginx基于TCP协议代理ZooKeeper集群 本篇博客博主将会给大家介绍ZooKeeper提供的Java客户端API,下一篇博客再介绍Curator的使用。 先创建一个maven项目: pom.xml: <?xml version="1
第一课:zookeeper 特性与节点说明1
08-08
客户端使用Zookeeper提供的命令行工具(`zkCli.sh`)进行交互,可以执行创建节点、删除节点、设置数据、查看节点状态、设置权限控制列表(ACL)以及管理监听事件等操作。 总的来说,Zookeeper作为分布式系统中的...
zookeeper客户端api使用
03-25
Watcher是ZooKeeper中的一个重要特性,它允许客户端订阅特定节点的事件。当节点状态发生变化时,ZooKeeper会触发注册的Watcher。在上述连接示例中,我们已经创建了一个基本的Watcher。具体处理事件的逻辑应在`...
ZooKeeper 客户端的使用(二).
02-07
ZooKeeper 支持 SASL 认证和 ACL(Access Control Lists)权限控制,可以对不同用户或角色设置不同的访问权限,确保数据的安全。 8. **ZooKeeper 集群** 在实际应用中,ZooKeeper 通常运行在多个服务器组成的集群...
ZooKeeper权限控制样例程序
01-22
ZooKeeper权限控制样例程序,配合文档:http://blog.csdn.net/nileader/article/details/43014541
zookeeper之znode节点与acl权限设置
积跬步,至千里。
06-29 1334
ZooKeeper是一个典型的分布式数据一致性的解决方案,分布式应用程序可以基于它实现诸如数据发布/订阅、负载均衡、命名服务、分布式协调/通知、集群管理、Master 选举、分布式锁和分布式队列等功能
zookeeper--基础知识点--5--ACL
Chasing__Dreams的博客
02-09 671
ACL:Access Control List 访问控制列表 1 ACL构成 ACL 权限控制使用:scheme : id : perm 来标识,主要涵盖 3 个方面: 权限模式(Scheme):授权的策略 授权对象(ID):授权的对象 权限(Permission):授予的权限 2 ACL 特性 ZooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限 每个znode支持设置多种权限控制方案和多个权限 子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点
zookeeper的权限控制
qq_29860591的博客
04-21 243
zookeeperacl权限控制概述​ zookeeper 类似文件系统,client 可以创建节点、更新节点、删除节点,那么如何做到节点的权限的控制呢?zookeeper的access control list 访问控制列表可以做到acl 权限控制使用scheme:id:permission 来标识,主要涵盖 3 个方面: 权限模式(scheme):授权的策略 授权对象(id)...
ZookeeperACL权限控制
weixiaohuai的博客
01-19 615
目录 一、概述 二、acl权限各部分组成说明 三、授权的相关命令 四、world授权模式 五、IP授权模式 六、Auth授权模式 七、Digest授权模式 八、多种模式授权 九、总结 一、概述 zookeeper类似linux文件系统,客户端可以创建数据节点、更新节点数据、删除节点等,那么我们如何做到节点的权限控制呢?回想一下linux文件的权限文件,由r(读)、w(写)、x(可执行)组成,同理,zookeeper中存在访问控制列表,也可以实现类似的权限控制acl 权限控制使用
Yarn RM写ZNode超数据量限制bug修复
JacksonKing的专栏
08-30 648
Yarn RM写ZNode超数据量限制bug修复 问题背景 线上集群出现过几次 Yarn RM 写 ZK ZNode 的数据量超过 ZNode 限制,导致 RM 服务均进入 Standby 状态,用户无法正常提交任务,整个集群 hang 住,后续排查发现主要是异常任务写 ZNode 数据量太大,超过 ZNode 限制,导致集群其他提交作业的状态信息无法正常写入 ZNode,为避免类似问题再次出现,我们对 RM 写 ZNode 逻辑进行了优化,规避异常任务对整个集群造成的雪崩效应。 一、问题复现 最直
ZooKeeper解惑
weixin_33859231的博客
05-30 170
最近针对ZK一些比较疑惑的问题,再看了一下相关代码,列举如下。这里只列官方文档中没有的,或者不清晰的。以zookeeper-3.3.3为基准。以下用ZK表示ZooKeeper。一个ZooKeeper对象,代表一个ZKClient。应用通过ZooKeeper对象中的读写API与ZK集群进行交互。一个简单的创建一条数据的例子,只需如下两行代码:ZooKeeper zk = new...
HCIA-Big Data V3.0 华为认证大数据工程师在线课程章节测试题汇总
最新发布
gaogao0305的博客
11-23 3171
本文为HCIA-Big Data V3.0华为认证大数据工程师在线课程的章节习题及答案
ZooKeeper的Znode剖析
热门推荐
Leo的博客
07-02 2万+
ZooKeeper中,节点也称为znode。由于对于程序员来说,对zk的操作主要是对znode的操作,因此,有必要对znode进行深入的了解。 ZooKeeper采用了类似文件系统的的数据模型,其节点构成了一个具有层级关系的树状结构。例如,图1展示了zk节点的层级树状结构。 图1:ZooKeeper的层级树状结构图1中,根节点 / 包含了两个字节点 /module1,/module2,而节点
Zookeeper深度解析:特性、节点类型与应用实践
此外,还涉及ZookeeperACL权限控制和数据持久化策略。" 在深入理解Zookeeper之前,首先需要理解分布式系统的基本概念。分布式系统是由多个独立的物理节点通过网络互相连接,协同工作以完成单一任务的架构。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值