最近使用Zookeeper作为配置管理服务,因为配置数据有很高的安全要求,需要有权限控制,也就是需要登录才能看到Zookeeper上面的数据。
Zookeeper对权限的控制是节点级别的,而且不继承,即对父节点设置权限,其子节点不继承父节点的权限。
* world:有个单一的ID,anyone,表示任何人。
* auth:不使用任何ID,表示任何通过验证的用户(是通过ZK验证的用户?连接到此ZK服务器的用户?)。
* digest:使用 用户名:密码 字符串生成MD5哈希值作为ACL标识符ID。权限的验证通过直接发送用户名密码字符串的方式完成,
* ip:使用客户端主机ip地址作为一个ACL标识符,ACL表达式是以 addr/bits 这种格式表示的。ZK服务器会将addr的前bits位与客户端地址的前bits位来进行匹配验证权限。
digest方式比较适合我们的业务,因此采用此种方式对Zookeeper进行权限控制。
创建节点数据时:
登录Zookeeper读取节点数据时:
这样对Zookeeper上的节点数据设置多个用户,用于不同的权限操作。
Zookeeper对权限的控制是节点级别的,而且不继承,即对父节点设置权限,其子节点不继承父节点的权限。
为了满足某个节点的权限验证,需要用的类为ACL(org.apache.zookeeper.data),Id(org.apache.zookeeper.data),znode节点权限不是继承的,并且可以针对不同访问
用户根据验证码的不同,设置不同的访问权限,即针对一个节点的创建,可以指定一个list<ACL>。
* world:有个单一的ID,anyone,表示任何人。
* auth:不使用任何ID,表示任何通过验证的用户(是通过ZK验证的用户?连接到此ZK服务器的用户?)。
* digest:使用 用户名:密码 字符串生成MD5哈希值作为ACL标识符ID。权限的验证通过直接发送用户名密码字符串的方式完成,
* ip:使用客户端主机ip地址作为一个ACL标识符,ACL表达式是以 addr/bits 这种格式表示的。ZK服务器会将addr的前bits位与客户端地址的前bits位来进行匹配验证权限。
digest方式比较适合我们的业务,因此采用此种方式对Zookeeper进行权限控制。
创建节点数据时:
- List<ACL> acls = new ArrayList<ACL>(2);
- Id id1 = new Id("digest", DigestAuthenticationProvider.generateDigest("admin:admin123"));
- ACL acl1 = new ACL(ZooDefs.Perms.ALL, id1);
- Id id2 = new Id("digest", DigestAuthenticationProvider.generateDigest("guest:guest123"));
- ACL acl2 = new ACL(ZooDefs.Perms.READ, id2);
- acls.add(acl1);
- acls.add(acl2);
- ZooKeeper zk = new ZooKeeper("127.0.0.1:2181", 10000, new DefaultWatcher());
- //指定节点/test,可以有两个ACL访问权限,访问时并需提供访问权限认证方法(addAuthInfo)才能获取对应节点数据。
- zk.create("/test", new byte[0], acls, CreateMode.PERSISTENT);
登录Zookeeper读取节点数据时:
- ZooKeeper zk = new ZooKeeper("127.0.0.1:2181", 10000, new DefaultWatcher());
- zk.addAuthInfo("digest", "guest:guest123".getBytes());
- byte[] value = zk.getData("/test", null, new Stat());
这样对Zookeeper上的节点数据设置多个用户,用于不同的权限操作。