Hive权限认证模块详解

最新推荐文章于 2020-10-10 12:09:56 发布
最新推荐文章于 2020-10-10 12:09:56 发布
阅读量3k 收藏 1
点赞数 2
分类专栏: hive hadoop JDO 文章标签: Hive JDO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyzzxycj/article/details/104824072
版权
hadoop 同时被 3 个专栏收录
48 篇文章 7 订阅
订阅专栏
hive
15 篇文章 1 订阅
订阅专栏
JDO
1 篇文章 0 订阅
订阅专栏
1、前言

前段时间,在升级Hive版本(从Hive1.1.0升级至Hive2.3.6)的过程中,遇到了权限兼容问题。
(升级相关请移步Hive1.1.0升级至2.3.6 踩坑记录

Hive1.1.0使用的是AuthorizerV1而Hive2.3.6默认是AuthorizerV2,两者相差极大。
其中AuthorizerV2的权限验证极为严格,如果曾经使用V1鉴权想要使用V2的,需要修改部分代码,这是我提交的patch,供参考HIVE-22830

2、权限认证

v1和v2的权限授权和查询,在SQL语法上是通用的,因此我们不需要对Hive授权相关的系统做代码上的修改。

v1权限认证

(org.apache.hadoop.hive.ql.security.authorization.DefaultHiveAuthorizationProvider):官方文档
总共有ALL | ALTER | UPDATE | CREATE | DROP | INDEX | LOCK | SELECT | SHOW_DATABASE这几种权限类型。
相关Hive操作所需要的权限如下表:
在这里插入图片描述

v2权限认证

(org.apache.hadoop.hive.ql.security.authorization.plugin.sqlstd.SQLStdHiveAuthorizerFactory):官方文档
总共有INSERT | SELECT | UPDATE | DELETE | ALL这几种类型的权限。
相关Hive操作所需要的权限如下表:
Y代表需要有该权限
Y+G代表不仅需要有改权限,还必须是能给别人赋权的权限(“WITH GRANT OPTION”)
在这里插入图片描述

来说说两者在一些细节上的区别:

1、v2的ALL权限在mysql中会分成INSERT | SELECT | UPDATE | DELETE 来保存,而v1则是直接存ALL
2、v1对库授权,则用户/角色对该库下的所有表都有相应的权限,而v2必须对表一一授权。
3、v1如果需要删库/表,只需要拥有对应的drop权限即可,而v2如果需要删库/表,必须是该库/表的owner,这个owner可以是用户或者角色。

3、源码解析(Hive3.1版本)

Hive SQL执行全过程源码解析中,介绍了Driver.compile中权限认证的入口:
在这里插入图片描述
在这里插入图片描述
接下来着重看下v2权限认证的实现:
在这里插入图片描述
如何判断是用v1或v2进行认证?

if (ss.isAuthorizationModeV2())
->   public boolean isAuthorizationModeV2(){
       return getAuthorizationMode() == AuthorizationMode.V2;
     }
--> public AuthorizationMode getAuthorizationMode(){
      setupAuth();
      // 判断在初始化操作setupAuth()后,authorizer是否为null
      // 优先判断是否为v1
      if(authorizer != null){
        return AuthorizationMode.V1;
      }else if(authorizerV2 != null){
        return AuthorizationMode.V2;
      }
    }

setupAuth():

/**
   * Setup authentication and authorization plugins for this session.
   */
  private void setupAuth() {
    // 已经被初始化了,直接返回
    if (authenticator != null) {
      // auth has been initialized
      return;
    }
    try {
      // 通过获取hive.security.authenticator.manager参数来决定authenticator
      authenticator = HiveUtils.getAuthenticator(sessionConf,
          HiveConf.ConfVars.HIVE_AUTHENTICATOR_MANAGER);
      authenticator.setSessionState(this);
      // 获取hive.security.authorization.manager参数,为权限验证实现类名
      // 决定了使用v1还是v2
      // Hive1默认v1:(org.apache.hadoop.hive.ql.security.authorization.DefaultHiveAuthorizationProvider)
      // Hive2及以后默认v2:(org.apache.hadoop.hive.ql.security.authorization.plugin.sqlstd.SQLStdHiveAuthorizerFactory)
      String clsStr = HiveConf.getVar(sessionConf, HiveConf.ConfVars.HIVE_AUTHORIZATION_MANAGER);
      // 使用反射尝试实例化权限认证类对象
      // 生成HiveAuthorizationProvider对象,v1
      authorizer = HiveUtils.getAuthorizeProviderManager(sessionConf,
          clsStr, authenticator, true);

      if (authorizer == null) {
        // if it was null, the new (V2) authorization plugin must be specified in
        // config
        // 实现和v1大致相同,使用反射尝试实例化权限认证类对象
        HiveAuthorizerFactory authorizerFactory = HiveUtils.getAuthorizerFactory(sessionConf,
            HiveConf.ConfVars.HIVE_AUTHORIZATION_MANAGER);

        HiveAuthzSessionContext.Builder authzContextBuilder = new HiveAuthzSessionContext.Builder();
        authzContextBuilder.setClientType(isHiveServerQuery() ? CLIENT_TYPE.HIVESERVER2
            : CLIENT_TYPE.HIVECLI);
        authzContextBuilder.setSessionString(getSessionId());

        // 生成HiveAuthorizer对象,v2
        authorizerV2 = authorizerFactory.createHiveAuthorizer(new HiveMetastoreClientFactoryImpl(),
            sessionConf, authenticator, authzContextBuilder.build());
        setAuthorizerV2Config();

      }
      // create the create table grants with new config
      createTableGrants = CreateTableAutomaticGrant.create(sessionConf);

    } catch (HiveException e) {
      LOG.error("Error setting up authorization: " + e.getMessage(), e);
      throw new RuntimeException(e);
    }

    if(LOG.isDebugEnabled()){
      Object authorizationClass = getActiveAuthorizer();
      LOG.debug("Session is using authorization class " + authorizationClass.getClass());
    }
    return;
  }

继续看v2的实现:

ss.getAuthorizerV2().checkPrivileges(hiveOpType, inputsHObjs, outputHObjs, authzContextBuilder.build());
->  public void checkPrivileges(HiveOperationType hiveOpType, List<HivePrivilegeObject> inputHObjs,
        List<HivePrivilegeObject> outputHObjs, HiveAuthzContext context)
        throws HiveAuthzPluginException, HiveAccessControlException {
      authValidator.checkPrivileges(hiveOpType, inputHObjs, outputHObjs, context);
    }
-->   public void checkPrivileges(HiveOperationType hiveOpType, List<HivePrivilegeObject> inputHObjs,
          List<HivePrivilegeObject> outputHObjs, HiveAuthzContext context)
          throws HiveAuthzPluginException, HiveAccessControlException {
        if (LOG.isDebugEnabled()) {
      	  String msg = "Checking privileges for operation " + hiveOpType + " by user "
            + authenticator.getUserName() + " on " + " input objects " + inputHObjs
            + " and output objects " + outputHObjs + ". Context Info: " + context;
          LOG.debug(msg);
        }
        
    	String userName = authenticator.getUserName();
    	// 获取metastore api入口
    	IMetaStoreClient metastoreClient = metastoreClientFactory.getHiveMetastoreClient();

    	// check privileges on input and output objects
   		List<String> deniedMessages = new ArrayList<String>();
    	// 分别对输入输出鉴权,结果计入deniedMessages
    	checkPrivileges(hiveOpType, inputHObjs, metastoreClient, userName, IOType.INPUT, deniedMessages);
    	checkPrivileges(hiveOpType, outputHObjs, metastoreClient, userName, IOType.OUTPUT, deniedMessages);

    	// 若deniedMessages大小不为0,则权限不足,抛出异常
    	SQLAuthorizationUtils.assertNoDeniedPermissions(new HivePrincipal(userName,
        HivePrincipalType.USER), hiveOpType, deniedMessages);
  	  }

checkPrivileges:
在这里插入图片描述
getPrivilegesFromMetaStore:

...
thrifPrivs = metastoreClient.get_privilege_set(objectRef, userName, null);
->  public PrincipalPrivilegeSet get_privilege_set(HiveObjectRef hiveObject,
        String userName, List<String> groupNames) throws MetaException,
        TException {
      if (!hiveObject.isSetCatName()) {
        hiveObject.setCatName(getDefaultCatalog(conf));
      }
      // 访问metastore
      return client.get_privilege_set(hiveObject, userName, groupNames);
    }
...

get_privilege_set:
在这里插入图片描述
这边以获取表权限为例,get_table_privilege_set:
在这里插入图片描述
getTablePrivilege:
在这里插入图片描述
listAllMTableGrants:
在这里插入图片描述
package.jdo:
在这里插入图片描述
至此,权限认证核心部分的代码已经梳理完了,如果对JDO不是很熟悉,可以看一下JDOQL官方文档

再回到Driver.doAuthorization,如果不走v2则会默认进行v1鉴权,其底层实现也是同v2一样,通过连metastore查库获取权限信息,然后比对。

    // 进行v1权限认证
    HiveAuthorizationProvider authorizer = ss.getAuthorizer();
    if (op.equals(HiveOperation.CREATEDATABASE)) {
      // 建库鉴权
      authorizer.authorize(
          op.getInputRequiredPrivileges(), op.getOutputRequiredPrivileges());
    } else if (op.equals(HiveOperation.CREATETABLE_AS_SELECT)
        || op.equals(HiveOperation.CREATETABLE)) {
      // 建表鉴权
      authorizer.authorize(
          db.getDatabase(SessionState.get().getCurrentDatabase()), null,
          HiveOperation.CREATETABLE_AS_SELECT.getOutputRequiredPrivileges());
    } else {
      if (op.equals(HiveOperation.IMPORT)) {
        ImportSemanticAnalyzer isa = (ImportSemanticAnalyzer) sem;
        if (!isa.existsTable()) {
          // 导入(import)鉴权
          authorizer.authorize(
              db.getDatabase(SessionState.get().getCurrentDatabase()), null,
              HiveOperation.CREATETABLE_AS_SELECT.getOutputRequiredPrivileges());
        }
      }
    }
    if (outputs != null && outputs.size() > 0) {
      for (WriteEntity write : outputs) {
        if (write.isDummy() || write.isPathType()) {
          continue;
        }
        if (write.getType() == Entity.Type.DATABASE) {
          if (!op.equals(HiveOperation.IMPORT)){
            // We skip DB check for import here because we already handle it above
            // as a CTAS check.
            // 写库鉴权
            authorizer.authorize(write.getDatabase(),
                null, op.getOutputRequiredPrivileges());
          }
          continue;
        }

        if (write.getType() == WriteEntity.Type.PARTITION) {
          Partition part = db.getPartition(write.getTable(), write
              .getPartition().getSpec(), false);
          if (part != null) {
            // 写分区鉴权
            authorizer.authorize(write.getPartition(), null,
                    op.getOutputRequiredPrivileges());
            continue;
          }
        }

        // 写表鉴权
        if (write.getTable() != null) {
          authorizer.authorize(write.getTable(), null,
                  op.getOutputRequiredPrivileges());
        }
      }
    }

    // 之后就是对读取的鉴权,不一一注释了。
    // 其底层实现也是同v2一样,连metastore查库获取权限信息,然后比对。

    if (inputs != null && inputs.size() > 0) {
      Map<Table, List<String>> tab2Cols = new HashMap<Table, List<String>>();
      Map<Partition, List<String>> part2Cols = new HashMap<Partition, List<String>>();

      //determine if partition level privileges should be checked for input tables
      Map<String, Boolean> tableUsePartLevelAuth = new HashMap<String, Boolean>();
      for (ReadEntity read : inputs) {
        if (read.isDummy() || read.isPathType() || read.getType() == Entity.Type.DATABASE) {
          continue;
        }
        Table tbl = read.getTable();
        if ((read.getPartition() != null) || (tbl != null && tbl.isPartitioned())) {
          String tblName = tbl.getTableName();
          if (tableUsePartLevelAuth.get(tblName) == null) {
            boolean usePartLevelPriv = (tbl.getParameters().get(
                "PARTITION_LEVEL_PRIVILEGE") != null && ("TRUE"
                .equalsIgnoreCase(tbl.getParameters().get(
                    "PARTITION_LEVEL_PRIVILEGE"))));
            if (usePartLevelPriv) {
              tableUsePartLevelAuth.put(tblName, Boolean.TRUE);
            } else {
              tableUsePartLevelAuth.put(tblName, Boolean.FALSE);
            }
          }
        }
      }

      // column authorization is checked through table scan operators.
      getTablePartitionUsedColumns(op, sem, tab2Cols, part2Cols, tableUsePartLevelAuth);

      // cache the results for table authorization
      Set<String> tableAuthChecked = new HashSet<String>();
      for (ReadEntity read : inputs) {
        // if read is not direct, we do not need to check its autho.
        if (read.isDummy() || read.isPathType() || !read.isDirect()) {
          continue;
        }
        if (read.getType() == Entity.Type.DATABASE) {
          authorizer.authorize(read.getDatabase(), op.getInputRequiredPrivileges(), null);
          continue;
        }
        Table tbl = read.getTable();
        if (tbl.isView() && sem instanceof SemanticAnalyzer) {
          tab2Cols.put(tbl,
              sem.getColumnAccessInfo().getTableToColumnAccessMap().get(tbl.getCompleteName()));
        }
        if (read.getPartition() != null) {
          Partition partition = read.getPartition();
          tbl = partition.getTable();
          // use partition level authorization
          if (Boolean.TRUE.equals(tableUsePartLevelAuth.get(tbl.getTableName()))) {
            List<String> cols = part2Cols.get(partition);
            if (cols != null && cols.size() > 0) {
              authorizer.authorize(partition.getTable(),
                  partition, cols, op.getInputRequiredPrivileges(),
                  null);
            } else {
              authorizer.authorize(partition,
                  op.getInputRequiredPrivileges(), null);
            }
            continue;
          }
        }

        // if we reach here, it means it needs to do a table authorization
        // check, and the table authorization may already happened because of other
        // partitions
        if (tbl != null && !tableAuthChecked.contains(tbl.getTableName()) &&
            !(Boolean.TRUE.equals(tableUsePartLevelAuth.get(tbl.getTableName())))) {
          List<String> cols = tab2Cols.get(tbl);
          if (cols != null && cols.size() > 0) {
            authorizer.authorize(tbl, null, cols,
                op.getInputRequiredPrivileges(), null);
          } else {
            authorizer.authorize(tbl, op.getInputRequiredPrivileges(),
                null);
          }
          tableAuthChecked.add(tbl.getTableName());
        }
      }

    }
Deegue
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hiveAuth.zip
05-17
该资源为远程连接hive客户端时,需要自定义用户名和密码的工具类,放在hive/lib目录下,有需自取
Hive授权(Security配置)
valder fields
05-08 981
  摘:https://cwiki.apache.org/Hive/languagemanual-auth.html        https://cwiki.apache.org/Hive/authdev.html        http://grokbase.com/t/hive/user/11aksphhas/authorization-and-remote-connectio...
HiveAccessControlException Permission denied: Principal [name=hive, type=USE]does not have following
fairynini的博客
05-14 1万+
问题: Caused by: org.apache.hadoop.hive.ql.security.authorization.plugin.HiveAccessControlException: Permission denied: Principal [name=hive, type=USER] does not have following privileges for operation QUERY [[SELECT] on Object [type=TABLE_OR_VIEW, name=sy_d
RBAC数据库设计
weixin_45290168的博客
09-20 1752
1.概念: 基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强 制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成 为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理rbac: 一种数 据库设计思想,根据设计数据库设计方案,完成项目的权限控制. 权限:具备操作某个事务的能力 角色:一系列权限的集合 2.权限的使用情景 不同用户登录后看到的菜单是不一样的. 不同用户看到的页面效果不一样 有的用户可以看见”授权”
hive 执行授权时出现异常(GRANT CREATE ON DATABASE default TO USER hive;)
shtdayu的博客
05-24 2646
set hive.files.umask.value=0002;set hive.metastore.authorization.storage.checks=true; set hive.security.authorization.enabled=true;set hive.security.authorization.createtable.owner.grants=ALL;set hive...
hive权限管理
热门推荐
zqqnancy的专栏
07-08 3万+
环境: HDP2.4 ,hive-1.2.0, ambari统一管理 目前hive支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表都有查看和改动的权利,这样是不符合一般数据仓库的安全原则的。下面来介绍HIVE权限管理。 Hive用户 1. Hive作为表存储层。     使用对象:Hive's HCatalog
org.apache.hadoop.security.AccessControlException:权限不足解决方案
小小小博客
12-09 1210
org.apache.hadoop.security.AccessControlException: Permission denied: user=Administrator, access=WRITE, inode="/":root:supergroup:drwxr-xr-x at org.apache.hadoop.hdfs.server.namenode.FSPermissionCheck...
Hive 权限控制
09-05 1547
Hive 权限控制 字数1135 阅读551 评论0 喜欢0 说明 认证(authentication):验证用户所用的身份是否是对的授权(authorization):验证用户所用身份操作是否有权限 目前hive(版本0.12.0)支持简单的权限管理,默认情况下是不开启,这样所有的用户都具有相同的权限,同时也是超级管理员,也就对hive中的所有表都有查看和改动的权利,
Hive记录-hive权限控制
weixin_30955617的博客
10-17 169
在使用Hive的元数据配置权限之前必须现在hive-site.xml中配置两个参数,配置参数如下: <property> <name>hive.security.authorization.enabled</name> <value>true</value> </property> <property> ...
[日常Debug]Hive问题之org.apache.hadoop.security.AccessControlException
Algorithm_goddness的博客
07-04 501
org.apache.hadoop.security.AccessControlException hive&gt; load data local inpath 'clickstream.txt' into table user_dimension; FAILED: Hive Internal Error: java.lang.RuntimeException(org.apach...
Hive权限设置说明
07-17
CDH平台,通过hue访问hive,控制库级别,表级别,及列级别的访问权限
HIVE安装及详解
10-14
HIVE安装及详解,及测试,该文档版本是1.2+的。。。。。
Impala和Hive的关系(详解
02-24
Impala是基于Hive的大数据实时分析查询引擎,直接使用Hive的元数据库Metadata,意味着impala元数据都存储在Hive的metastore中。并且impala兼容Hive的sql解析,实现了Hive的SQL语义的子集,功能还在不断的完善中。...
Hive数据查询详解.md
最新发布
08-07
Hive数据查询详解,基础篇
spark 参数调优10-Dynamic Allocation动态分配
Deegue
08-31 3万+
spark参数调优系列 目录地址: https://blog.csdn.net/zyzzxycj/article/details/81011540   ⑩ Dynamic Allocation 动态分配 spark.dynamicAllocation.enabled 是否开启动态资源配置,根据工作负载来衡量是否应该增加或减少executor,默认false 以下相关参数: spar...
hive四种存储格式介绍与分析比较
Deegue
02-06 3万+
一、四种存储格式介绍 1、TestFile TextFile文件不支持块压缩,默认格式,数据不做压缩,磁盘开销大,数据解析开销大。这边不做深入介绍。 2、RCFile Record Columnar的缩写。是Hadoop中第一个列文件格式。能够很好的压缩和快速的查询性能,但是不支持模式演进。通常 写操作比较慢,比非列形式的文件格式需要更多的内存空间和计算量。
Hadoop: Fair Scheduler
Deegue
10-10 2万+
介绍 Fair Scheduler是公平分配YARN资源的方法之一。默认情况下,Fair Scheduler只基于内存来保证公平分配,通过配置yarn.scheduler.fair.cpu-scheduling-enabled为true,可以基于内存+CPU来分配资源。 当只有一个application在运行时,它可以使用整个集群资源。当其他app提交后,资源会被释放并分配给新来的app,这样就能保证大家拥有大致相同的资源。Fair Scheduler还可以根据每个app的权重、优先级来确定分配资源的比例。
MapReduce框架源码解析
Deegue
11-11 2万+
MapReduce框架源码解析
spark 参数调优7-Executor behavior
Deegue
08-31 2万+
spark参数调优系列 目录地址: https://blog.csdn.net/zyzzxycj/article/details/81011540   ⑦ Executor behavior spark.broadcast.blockSize TorrentBroadcastFactory中的每一个block大小,默认4m 过大会减少广播时的并行度,过小会导致BlockManager...
hive安装与配置详解
04-27
下面是Hive的安装与配置详解: 1. 安装Java Hive需要Java环境来运行,所以需要先安装Java。可以通过以下命令来安装Java: ``` sudo apt-get update sudo apt-get install default-jdk ``` 2. 安装Hadoop Hive是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值