用户操作文件的权限检查器——PermissionChecker

最新推荐文章于 2024-05-09 09:37:16 发布
最新推荐文章于 2024-05-09 09:37:16 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: HDFS源码解析 文章标签: access null user string linux path
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhh198781/article/details/7252620
版权

      在HDFS中,也提供了类似于linux文件系统中的文件操作权限管理功能,当我们在HDFS中创建一个文件/目录的时候,一般会为这个文件/目录附加对应的创建者、操作权限码。这里的操作权限码与linux中文件操作模式是完全一样的,如:0x777。那么,当一个客户端在对一个文件/目录进行操作(创建一个文件,读、写文件等)之前,先要对这个客户端进行操作权限的验证。其实,一个用户在使用HDFS提供的客户端来访问HDFS的时候,这个客户端是具有某个用户登录的,它和HDFS的NameNode节点连接的时候会把这个用户信息发送NameNode,在NameNode节点上,我也可以配置一个超用户和一个超用户组信息,如图所示:


    首先在这里要说的就是客户端的用户信息的配置,这个用户信息可以来自客户端的配置文件core-site.xml也可以来自当前操作系统的登录用户,但是优先考虑配置文件core-site.xml中的用户信息,对应的配置项为:hadoop.job.ugi,这个配置项的值可以是一个用户名和一个用户组,或者是一个用户名和多个用户组。如果配置文件没有配置登录用户信息的话,就会自动执行系统的shell命令whoamibash -c groups来分别获取当前系统的用户名和用户所属的组。在NameNode节点上超用户信息配置同客户端的用户配置是相同的,而超用户组的信息只能通过配置文件hdfs-site来配置了,对应的配置项为:dfs.permissions.supergroup

     刚才说过,当用户需要对某个文件进的时候就需要先验证该用户对该文件是否具有对应的操作权限,那么这个工作就交由权限检查器——PermissionChecker来处理了。


1.为客户端用户创建一个权限检查器

PermissionChecker(String fsOwner, String supergroup) throws AccessControlException{
    //获取客户端的用户信息  
    UserGroupInformation ugi = UserGroupInformation.getCurrentUGI();

    if (LOG.isDebugEnabled()) {
      LOG.debug("ugi=" + ugi);
    }

    if (ugi != null) {
      user = ugi.getUserName();//客户端的用户名
      groups.addAll(Arrays.asList(ugi.getGroupNames()));//客户端的用户所属的组
      isSuper = user.equals(fsOwner) || groups.contains(supergroup);//判断用户是不是超用户
   }
    else {
      throw new AccessControlException("ugi = null");
    }
    
  }
    在多线程的环境下,NameNode是如何准确地获取到当前客户端对应的用户信息的,HDFS采用了JAAS技术来实现,在这里,我并不打算详细描述。


2.检查客户端用户是否有权限操作某文件

void checkPermission(String path, INodeDirectory root, boolean doCheckOwner, FsAction ancestorAccess, FsAction parentAccess, FsAction access, FsAction subAccess) throws AccessControlException {
    if (LOG.isDebugEnabled()) {
      LOG.debug("ACCESS CHECK: " + this
          + ", doCheckOwner=" + doCheckOwner
          + ", ancestorAccess=" + ancestorAccess
          + ", parentAccess=" + parentAccess
          + ", access=" + access
          + ", subAccess=" + subAccess);
    }

    synchronized(root) {
      INode[] inodes = root.getExistingPathINodes(path);//获取文件的所有父节点
      int ancestorIndex = inodes.length - 2;
      for(; ancestorIndex >= 0 && inodes[ancestorIndex] == null; ancestorIndex--);
      
      checkTraverse(inodes, ancestorIndex);

      if (ancestorAccess != null && inodes.length > 1) {
        check(inodes, ancestorIndex, ancestorAccess);
      }
      
      if (parentAccess != null && inodes.length > 1) {
        check(inodes, inodes.length - 2, parentAccess);
      }

      if (access != null) {
        check(inodes[inodes.length - 1], access);
      }

      if (subAccess != null) {
        checkSubAccess(inodes[inodes.length - 1], subAccess);
      }

      if (doCheckOwner) {
        checkOwner(inodes[inodes.length - 1]);
      }
    }
  }

  private void checkOwner(INode inode) throws AccessControlException {
    if (inode != null && user.equals(inode.getUserName())) {
      return;
    }
    throw new AccessControlException("Permission denied");
  }

  private void checkTraverse(INode[] inodes, int last) throws AccessControlException {
    for(int j = 0; j <= last; j++) {
      check(inodes[j], FsAction.EXECUTE);
    }
  }

  private void checkSubAccess(INode inode, FsAction access
      ) throws AccessControlException {
    if (inode == null || !inode.isDirectory()) {
      return;
    }

    Stack<INodeDirectory> directories = new Stack<INodeDirectory>();
    for(directories.push((INodeDirectory)inode); !directories.isEmpty(); ) {
      INodeDirectory d = directories.pop();
      check(d, access);

      for(INode child : d.getChildren()) {
        if (child.isDirectory()) {
          directories.push((INodeDirectory)child);
        }
      }
    }
  }

  private void check(INode[] inodes, int i, FsAction access) throws AccessControlException {
    check(i >= 0? inodes[i]: null, access);
  }

  private void check(INode inode, FsAction access) throws AccessControlException {
    if (inode == null) {
      return;
    }
    FsPermission mode = inode.getFsPermission();//获取该文件的权限操作码

   if (user.equals(inode.getUserName())) { //用户名相同
      if (mode.getUserAction().implies(access)) { return; }
    }
    else if (groups.contains(inode.getGroupName())) { //用户组相同
      if (mode.getGroupAction().implies(access)) { return; }
    }
    else { //other class
      if (mode.getOtherAction().implies(access)) { return; }
    }
    
    throw new AccessControlException("Permission denied: user=" + user + ", access=" + access + ", inode=" + inode);
  }


    很多初学者在操作HDFS中的文件时经常会遇到AccessControlException异常,但是这个文件其实是自己之前建立的,按理说不可能出现“无权访问”这样的问题的,而造成这个异常的一个可能的场景是:没有通过配置文件来配置客户端的用户信息,用OS的用户user1创建了文件,之后又用OS的用户user2来删除该文件,此时却发现无权删除该文件,所以出现这一类异常的根本原因就是客户端的登录用户信息配置不正确,导致他无法操作自己想要的文件。如果出现这类操作异常的话,请仔细阅读本文。

   



读程序的手艺人
关注
专栏目录
文件权限检查PermissionChecker服务
GnabVue的博客
10-06 116
然后,它检查文件路径是否存在于用户权限字典中,如果不存在,则表示用户对该文件没有任何权限。最后,它检查所需权限是否在用户文件权限列表中,如果不在,则表示用户没有所需的权限。为了确保只有经过授权的用户能够访问和修改文件,我们需要一个有效的文件权限检查。本文介绍了一个名为"PermissionChecker"的服务,它可以用于验证用户文件权限,并提供相应的访问控制。字典的键是用户名称,对应的值是一个嵌套字典,其中键是文件路径,值是一个包含该用户对该文件具有的权限列表。的读取权限,而第二个检查返回。
@SaCheckPermission
最新发布
m0_68935893的博客
08-30 494
注:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。本篇我们将介绍在 Sa-Token 中如何通过注解完成权限校验。Gitee 开源地址:https://gitee.com/dromara/sa-token。
Android权限检查API checkSelfPermission失效问题
2401_84121846的博客
04-04 812
targetSdkVersion < 23的时候,6.0权限检查API失效了,不过通过上面的分析指导,在设置中权限操作仍然会被存储内存及持久化到appops.xml文件中,这里就是走的AppOpsService那一套,AppOpsService可以看做6.0为了兼容老APP而保留的一个附加的权限管理模型,在6.0之后的系统中,可以看做runtime权限管理的补充,其实AppOpsService这套在4.3就推出了,不过不太灵活,基本没啥作用,之前只用到了通知管理。
android 6.0权限全面详细分析和解决方案
热门推荐
Robin Hu的专栏
03-01 7万+
一、Marshmallow版本权限简介 android的权限系统一直是首要的安全概念,因为这些权限只在安装的时候被询问一次。一旦安装了,app可以在用户毫不知晓的情况下访问权限内的所有东西,而且一般用户安装的时候很少会去仔细看权限列表,更不会去深入了解这些权限可能带来的相关危害。所以在android 6.0 Marshmallow版本之后,系统不会在软件安装的时候就赋予该app所有其申请的权
推荐开源项目:Android Permissions Checker - 简化权限检查的神
gitblog_00071的博客
05-09 396
推荐开源项目:Android Permissions Checker - 简化权限检查的神 AndroidPermissions项目地址:https://gitcode.com/gh_mirrors/an/AndroidPermissions 1、项目介绍 在Android M及以上版本中,为了更好地保护用户隐私,引入了运行时权限管理机制。然而,这给开发者带来了额外的权限检查工作,代码显得复杂...
权限】【检查权限的拦截
Armo的博客
01-11 412
环境准备 员工已经登入. 将员工对应的权限表达式集合存入session,(EXPS_IN_SESSION) 检查权限拦截 放行条件: 该Action不需要权限就可以访问 (访问的方法,没有被注解) 该员工是超级管理员 该员工拥有此权限 (session中的权限表达式列表,有访问的方法对应的表达式) public class PermissionCheckIntercep
android运行时权限检测,Android造轮子之6.0运行时权限检查
weixin_39837867的博客
05-28 183
PermissionsChecker一个帮助你完成 Android M 运行时权限检查的库第一次造轮子,有人说程序员之所以造轮子,是因为某个问题戳到了他的痛点欢迎大家来使用和测试,有不足的地方还希望大家可以提出来,我都会虚心改进轮子大家测!只需几行代码完成 Android M 运行时权限检查,欢迎提 issue 和我交流ScreenshotPermissionsCheckerPermissions...
Android文件管理源码.zip
07-10
在Android系统中,文件管理是一个至关重要的应用,它允许用户查看、操作、组织设备上的文件和目录。本文将深入探讨“Android文件管理源码.zip”提供的源代码,揭示其背后的技术细节和实现原理。 首先,Android...
Android程序研发源码Android 文件管理源码.zip
04-30
- ` ActivityCompat`和`PermissionChecker`帮助处理权限请求和检查。 6. **异步处理和线程管理**: - 长时间运行的任务如文件读写应在后台线程执行,防止UI冻结。可以使用`AsyncTask`,`IntentService`或`Handler...
qt for android图片选择
12-16
对于访问图库这种涉及到存储权限操作,我们需要检查是否已经获得了相应的权限,并在必要时引导用户授权。这通常涉及使用 ActivityCompat 和 PermissionChecker 类,以及请求权限的代码。 6. **检测和处理问题**:...
android图书查看+文件上传下载功能
06-06
综上所述,实现"android图书查看+文件上传下载功能"需要综合运用Android的UI设计、文件操作、数据库交互、网络编程等多个技术环节,每个环节都需要精心设计和实现,才能提供一个功能完备且用户体验良好的应用。
Android6.0 系统上运行时权限检测checkSelfPermission接口问题
yangwubolwg的博客
07-10 1万+
在 Android6.0 系统的机上测试运行时权限,将应用获取摄像头权限禁止掉,然后应用在调用扫码功能时,检测权限,并确定是否要获取权限,然后根据权限的获取结果启动扫码界面,还是已有 权限直接启动扫码界面: 但是接口的返回值却没有想象中的那么顺利,使用context.checkSelfPermission接口再我将应用相关权限禁止时,依然返回已经granted授权,这就让代码的逻辑无法像之...
liferay权限之二 permissionChecker的实现解析
bluedot
07-13 216
版本:4.3.4企业版 1.用户所关联实体(社区、组织、用户组、角色、及他们之间的关联体): com.liferay.portal.service.persistence.GroupFinder.countByGroupId: SELECT                 COUNT(*) AS COUNT_VALUE             FROM                 ...
HDFS上传文件错误:Permission denied: user=root, access=WRITE, inode="/user"
g11d111的博客
06-07 2万+
问题描述 今天用spark-streaming测试HDFS文件系统)监听情况的时候,因为CDH集群重新配置的原因,权限没有设置好。导致写文件出bug。 错误情况(错误代码那块没保存,下面的代码从网上找的,不过错误的地方是相同的。):11/10/28 16:05:53 INFO mapred.JobClient: Running job: job_201110281103_0003 11/10
HDFS权限部分
weixin_41138110的博客
04-12 306
hdfs FsPermission 权限
聊聊HDFS中的权限管理
hncscwc的博客
08-18 3226
HDFS是一个面向多用户的分布式文件系统。既然是多用户,那么不同用户存储的文件通常需要进行权限隔离,防止被其他用户修改或误删。本文就来聊聊HDFS中的权限管理。权限校验要启用权限校验,首先...
HDFS客户端的权限错误:Permission denied(转载)
01-03 4678
HDFS客户端的权限错误:Permission denied 2013年07月18日Java评论 2 条阅读 5,751 views 次 搭建了一个Hadoop的环境,Hadoop集群环境部署在几个Linux服务上,现在想使用windows上的Java客户端来操作集群中的HDFS文件,但是在客户端运行时出现了如下的认证错误,被折磨了几天,问题终得以解决。以此文记录问题的解决过程。 (
hdfs写入无权限解决方法
yjh314的专栏
11-08 5051
[2017-11-08 16:04:59,686] WARN hdfs.FileSystemManager: 打开文件流,创建文件:test_part-0000失败:org.apache.hadoop.security.AccessControlException: Permission denied: user=root, access=WRITE, inode="/user/data/test
安卓的@PermissionChecker.PermissionResult注解
05-19
如果用户授权了权限,则可以继续执行需要该权限操作。如果用户拒绝了权限请求,则需要处理该情况并采取适当的措施。 @PermissionChecker.PermissionResult注解通常与@PermissionChecker.PermissionRequest注解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值