Zookeeper作为一个分布式协调框架,其内部存储的都是一些关于分布式系统运行时状态的元数据,尤其是一些涉及到分布式锁、Master选举和分布式协调等应用场景的数据。数据的安全性一定程度上影响着系统的运行时状态。Zookeeper提供了一套完善的ACL(Access Control List)权限控制来保障数据的安全性。Acl。即访问控制列表。
ACL介绍
权限模式(Scheme)、授权对象(ID)和权限(permission),通常使用“scheme:id:permission”来标识一个有效的ACL信息。
权限模式(Scheme)
用来确定权限验证过程中使用的校验策略,Zookeeper中使用最多的就是如下四种。同时用户可以自定义权限控制模式。通过实现接口AuthenticationProvider
IP(IPAuthenticationProvider实现类)
IP模式通过IP地址粒度来进行权限控制,如配置了“ip:192.168.1.1”,表示权限控制都是针对这个IP地址的。同时也支持按照网 段的方式,如“ip:192.168.0.1/24”。
Digest(DigestAuthenticationProvider实现类)
Digest是最常用的权限控制模式,类似于“username:password”形式的权限表示来进行权限配置,便于区分不同应用来进行权 限控制。核心方法就是generateDigest,方法定义如下:
static public String generateDigest(String idPassword)
throws NoSuchAlgorithmException {
String parts[] = idPassword.split(":", 2);
//使用SHA1算法对消息进行摘要
byte digest[] = MessageDigest.getInstance("SHA1").digest(idPassword.getBytes());
//对摘要后的消息进行base64Encode编码
return parts[0] + ":" + base64Encode(digest);
}
World
World是一种最开放的权限控制模式,他只有一个权限标识“world:anyone”。使用这种模式,数据节点的访问权限对所有用户 开放。
Super
Super模式,超级用户,是一种特殊的Digest模式,在Super模式下,超级用户可以对任意的Zookeeper上的数据节点进行任何 操作。
授权对象 ID
- 不同的模式,授权对象是不同的。、
- IP模式:通常是一个Ip地址或者是IP段
- Digest模式:自定义
- World模式:只有一个ID,即anyone
- Super模式:自定义
权限 Permission:
- CREATE(C):数据节点的创建权限,允许授权对象在该数据节点下创建子节点。
- DELETE(D):子节点的删除权限,允许授权对象删除该数据节点下的子节点。
- READ(R):数据节点的读取权限,允许授权对象访问该数据节点并读取其内容或子节点列表等
- WRITE(W):数据节点的更新权限,允许授权对象对该数据节点进行更新操作。
- ADMIN(A):数据节点的管理权限,运行授权对象对该数据节点进行ACL相关的设置操作
实现自定义的权限模式
实现接口AuthenticationProvider
注册自定义的权限模式
系统属性-DZookeeper.authProvider.X
在Zookeeper启动参数中配置类似于如下的系统属性
-DZookeeper.authProvider.1=com.xxx.xxx --com.xxx.xxx表示自定义属性的全限定名
配置文件方式
在zoo.cfg配置文件中配置
authProvider.1=com.xxx.xxx --com.xxx.xxx表示自定义属性的全限定名
权限控制器的注册
对于权限控制器的注册,Zookeeper采用了延迟加载的策略,即第一次处理包含权限控制的客户端请求时,才会进行权限控制器的初始化,同时Zookeeper会将所有的权限控制器注册到ProviderRegistry中。
具体的延迟加载入口见ZookeeperServer的processPacket方法
public void processPacket(ServerCnxn cnxn, ByteBuffer incomingBuffer) throws IOException {
.....
RequestHeader h = new RequestHeader();
h.deserialize(bia, "header");
.....
//如果请求的类型是auth则进行权限相关的处理
if (h.getType() == OpCode.auth) {
.....
//获取权限模式
String scheme = authPacket.getScheme();
//从ProviderRegistry中获取权限控制器
AuthenticationProvider ap = ProviderRegistry.getProvider(scheme);
Code authReturn = KeeperException.Code.AUTHFAILED;
if(ap != null) {
try {
authReturn = ap.handleAuthentication(cnxn, authPacket.getAuth());
} catch(RuntimeException e) {
LOG.warn("Caught runtime exception from AuthenticationProvider: " + scheme + " due to " + e);
authReturn = KeeperException.Code.AUTHFAILED;
}
}
}
ProviderRegistry.getProvider 如下所示
public static AuthenticationProvider getProvider(String scheme) {
//权限控制器没加载过,则加载权限控制器
if(!initialized)
initialize();
return authenticationProviders.get(scheme);
}
public static void initialize() {
synchronized (ProviderRegistry.class) {
//双重检查,保证只会被初始化一次
if (initialized)
return;
//先加载两个系统预置的IPAuthenticationProvider 和DigestAuthenticationProvider
IPAuthenticationProvider ipp = new IPAuthenticationProvider();
DigestAuthenticationProvider digp = new DigestAuthenticationProvider();
authenticationProviders.put(ipp.getScheme(), ipp);
authenticationProviders.put(digp.getScheme(), digp);
//获取系统变量相关中注册的,对于在zoo.cfg中注册的是怎样加载的呢?
Enumeration<Object> en = System.getProperties().keys();
while (en.hasMoreElements()) {
String k = (String) en.nextElement();
if (k.startsWith("zookeeper.authProvider.")) {
String className = System.getProperty(k);
try {
Class<?> c = ZooKeeperServer.class.getClassLoader()
.loadClass(className);
AuthenticationProvider ap = (AuthenticationProvider) c
.newInstance();
authenticationProviders.put(ap.getScheme(), ap);
} catch (Exception e) {
LOG.warn("Problems loading " + className,e);
}
}
}
initialized = true;
}
}
从上的加载控制器的逻辑可知,先加载IPAuthenticationProvider 和DigestAuthenticationProvider,再加载 系统属性 设置的,那对于在zoo.cfg中配置的是怎么加载的呢?原理是Zookeeper服务端启动时会去解析配置文件(QuorumPeerConfig类的parseProperties方法)。代码如下:即System.setProperty("zookeeper."+key,value);
public void parseProperties(Properties zkProp)
throws IOException, ConfigException {
int clientPort = 0;
String clientPortAddress = null;
for (Entry<Object, Object> entry : zkProp.entrySet()) {
String key = entry.getKey().toString().trim();
String value = entry.getValue().toString().trim();
if (key.equals("dataDir")) {
dataDir = value;
}
....此中间设置了众多的else if ....
else {
//设置到系统属性中
System.setProperty("zookeeper." + key, value);
}
}
ACL的使用,参考https://www.cnblogs.com/qlqwjy/p/10517231.html
仅供个人学习记录