ZooKeeper ACL权限控制

转载地址:https://blog.csdn.net/liuxiao723846/article/details/79391650

ZK 类似文件系统，Client 可以在上面创建节点、更新节点、删除节点等如何做到权限的控制？查阅文档，zk的ack（Access Control List）能够保证权限，但是调研完后发现它不是很好用。

ACL 权限控制，使用：schema:id:permission 来标识，主要涵盖 3 个方面：

1. 权限模式（Schema）：鉴权的策略
2. 授权对象（ID）
3. 权限（Permission）

其特性如下：

1. ZooKeeper的权限控制是基于每个znode节点的，需要对每个节点设置权限
2. 每个znode支持设置多种权限控制方案和多个权限
3. 子节点不会继承父节点的权限，客户端无权访问某节点，但可能可以访问它的子节点

一、接下来，我们逐一讲解schema、id和permission三个知识点。

1、schema：

ZooKeeper内置了一些权限控制方案，可以用以下方案为每个节点设置权限：

方案	描述
world	只有一个用户：anyone，代表所有人（默认）
ip	使用IP地址认证
auth	使用已添加认证的用户认证
digest	使用“用户名:密码”方式认证

2、id：

授权对象ID是指，权限赋予的用户或者一个实体，例如：IP 地址或者机器。授权模式 schema 与 授权对象 ID 之间关系：

扫描二维码关注公众号，回复： 3229776 查看本文章

3、权限permission：

权限	ACL简写	描述
CREATE	c	可以创建子节点
DELETE	d	可以删除子节点（仅下一级节点）
READ	r	可以读取节点数据及显示子节点列表
WRITE	w	可以设置节点数据
ADMIN	a	可以设置节点访问控制列表权限

二、权限相关命令：

命令	使用方式	描述
getAcl	getAcl <path>	读取ACL权限
setAcl	setAcl <path> <acl>	设置ACL权限
addauth	addauth <scheme> <auth>	添加认证用户

三、实战：

1、World方案：

1）设置方式

setAcl <path> world:anyone:<acl>

2）客户端实例：

1. [zk: localhost:2181(CONNECTED) 0] create /node1 1

2. Created /node1

3.  

4. [zk: localhost:2181(CONNECTED) 1] getAcl /node1

5. 'world,'anyone #默认为world方案

6. : cdrwa #任何人都拥有所有权限

7.  

8. #可以用以下方式设置：

9. [zk: localhost:2181(CONNECTED) 2] setAcl /node1 world:anyone:cdrwa

10. cZxid = 0x19000002a1

11. ctime = Thu May 11 22:00:00 CST 2017

12. mZxid = 0x19000002a1

13. mtime = Thu May 11 22:00:00 CST 2017

14. pZxid = 0x19000002a1

15. cversion = 0

16. dataVersion = 0

17. aclVersion = 1

18. ephemeralOwner = 0x0

19. dataLength = 1

20. numChildren = 0

2、IP方案：

1）设置方式

setAcl <path> ip:<ip>:<acl>

<ip>：可以是具体IP也可以是IP/bit格式，即IP转换为二进制，匹配前bit位，如192.168.0.0/16匹配192.168.*.*

2）客户端实例

1. [zk: localhost:2181(CONNECTED) 0] create /node2 1

2. Created /node2

3.  

4. [zk: localhost:2181(CONNECTED) 1] setAcl /node2 ip:192.168.100.1:cdrwa #设置IP：192.168.100.1 拥有所有权限

5. cZxid = 0x1900000239

6. ctime = Thu May 11 22:00:00 CST 2017

7. mZxid = 0x1900000239

8. mtime = Thu May 11 22:00:00 CST 2017

9. pZxid = 0x1900000239

10. cversion = 0

11. dataVersion = 0

12. aclVersion = 1

13. ephemeralOwner = 0x0

14. dataLength = 1

15. numChildren = 0

16.  

17. [zk: localhost:2181(CONNECTED) 2] getAcl /node2

18. 'ip,'192.168.100.1

19. : cdrwa

20.  

21. #使用IP非 192.168.100.1 的机器

22. [zk: localhost:2181(CONNECTED) 0] get /node2

23. Authentication is not valid : /node2 #没有权限

24.  

25. [zk: localhost:2181(CONNECTED) 1] delete /node2 #删除成功（因为设置DELETE权限仅对下一级子节点有效，并不包含此节点）

3、Auth方案

1）设置方式

1. addauth digest <user>:<password> #添加认证用户

2. setAcl <path> auth:<user>:<acl>

2）客户端实例

1. [zk: localhost:2181(CONNECTED) 0] create /node3 1

2. Created /node3

3.  

4. [zk: localhost:2181(CONNECTED) 1] addauth digest yoonper:123456 #添加认证用户

5.  

6. [zk: localhost:2181(CONNECTED) 2] setAcl /node3 auth:yoonper:cdrwa

7. cZxid = 0x19000002b8

8. ctime = Thu May 11 22:00:00 CST 2017

9. mZxid = 0x19000002b8

10. mtime = Thu May 11 22:00:00 CST 2017

11. pZxid = 0x19000002b8

12. cversion = 0

13. dataVersion = 0

14. aclVersion = 1

15. ephemeralOwner = 0x0

16. dataLength = 1

17. numChildren = 0

18.  

19. [zk: localhost:2181(CONNECTED) 3] getAcl /node3

20. 'digest,'yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=

21. : cdrwa

22.  

23. [zk: localhost:2181(CONNECTED) 4] get /node3

24. 1 #刚才已经添加认证用户，可以直接读取数据，断开会话重连需要重新addauth添加认证用户

25. cZxid = 0x1900000418

26. ctime = Thu May 11 22:00:00 CST 2017

27. mZxid = 0x1900000418

28. mtime = Thu May 11 22:00:00 CST 2017

29. pZxid = 0x1900000418

30. cversion = 0

31. dataVersion = 0

32. aclVersion = 1

33. ephemeralOwner = 0x0

34. dataLength = 1

35. numChildren = 0

4、Digest方案

1）设置方式

setAcl <path> digest:<user>:<password>:<acl>

这里的密码是经过SHA1及BASE64处理的密文，在SHELL中可以通过以下命令计算：

echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64

先来计算一个密文

1. echo -n yoonper:123456 | openssl dgst -binary -sha1 | openssl base64

2. UvJWhBril5yzpEiA2eV7bwwhfLs=

2）客户端实例

1. [zk: localhost:2181(CONNECTED) 0] create /node4 1

2. Created /node4

3.  

4. #使用是上面算好的密文密码添加权限：

5. [zk: localhost:2181(CONNECTED) 1] setAcl /node4 digest:yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=:cdrwa

6. cZxid = 0x19000002e3

7. ctime = Thu May 11 22:00:00 CST 2017

8. mZxid = 0x19000002e3

9. mtime = Thu May 11 22:00:00 CST 2017

10. pZxid = 0x19000002e3

11. cversion = 0

12. dataVersion = 0

13. aclVersion = 1

14. ephemeralOwner = 0x0

15. dataLength = 1

16. numChildren = 0

17.  

18. [zk: localhost:2181(CONNECTED) 2] getAcl /node4

19. 'digest,'yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=

20. : cdrwa

21.  

22. [zk: localhost:2181(CONNECTED) 3] get /node4

23. Authentication is not valid : /node4 #没有权限

24.  

25. [zk: localhost:2181(CONNECTED) 4] addauth digest yoonper:123456 #添加认证用户

26.  

27. [zk: localhost:2181(CONNECTED) 5] get /node4

28. 1 #成功读取数据

29. cZxid = 0x1900000420

30. ctime = Thu May 11 22:00:00 CST 2017

31. mZxid = 0x1900000420

32. mtime = Thu May 11 22:00:00 CST 2017

33. pZxid = 0x1900000420

34. cversion = 0

35. dataVersion = 0

36. aclVersion = 1

37. ephemeralOwner = 0x0

38. dataLength = 1

39. numChildren = 0

5、java客户单实例：

1. import java.io.IOException;

2. import java.util.concurrent.CountDownLatch;

3.  

4. import org.apache.zookeeper.CreateMode;

5. import org.apache.zookeeper.KeeperException;

6. import org.apache.zookeeper.WatchedEvent;

7. import org.apache.zookeeper.Watcher;

8. import org.apache.zookeeper.Watcher.Event.EventType;

9. import org.apache.zookeeper.Watcher.Event.KeeperState;

10. import org.apache.zookeeper.ZooDefs.Ids;

11. import org.apache.zookeeper.ZooKeeper;

12.  

13. import com.zookeeper.utils.CommonParams;

14.  
15.  

16. public class Zookeeper_Acl_Create extends CommonParams implements Watcher {

17.  

18. private static CountDownLatch latch = new CountDownLatch(1);

19.  

20. private static CountDownLatch countDownLatch = new CountDownLatch(1);

21.  

22. private static ZooKeeper zk = null;

23.  

24. public void syncInit() {

25. try {

26. zk = new ZooKeeper(CONNECTION_IP, 5000,

27. new Zookeeper_Acl_Create());

28. latch.await();

29. zk.addAuthInfo("digest", "username:password".getBytes());

30. zk.create("/act", "init".getBytes(), Ids.CREATOR_ALL_ACL, CreateMode.EPHEMERAL);

31. ZooKeeper zk3 = new ZooKeeper(CONNECTION_IP, 5000,

32. null);

33. zk3.addAuthInfo("digest", "username:password".getBytes());

34. String value2 = new String(zk3.getData("/act", false, null));

35. System.out.println("zk3有权限进行数据的获取" + value2);

36. ZooKeeper zk2 = new ZooKeeper(CONNECTION_IP, 5000,

37. null);

38. zk2.addAuthInfo("digest", "super:123".getBytes());

39. zk2.getData("/act", false, null);

40. } catch (InterruptedException e) {

41. e.printStackTrace();

42. } catch (IOException e) {

43. e.printStackTrace();

44. } catch (KeeperException e) {

45. System.out.println("异常:" + e.getMessage());

46. System.out.println("zk2没有权限进行数据的获取");

47. countDownLatch.countDown();

48. }

49. }

50.  

51. @Override

52. public void process(WatchedEvent event) {

53. if (KeeperState.SyncConnected == event.getState()) {

54. if (event.getType() == EventType.None && null == event.getPath()) {

55. latch.countDown();

56. }

57. }

58. }

59.  

60. public static void main(String[] args) throws InterruptedException {

61. Zookeeper_Acl_Create acl_Create = new Zookeeper_Acl_Create();

62. acl_Create.syncInit();

63. countDownLatch.await();

64. }

65.  

66. }

输出：

1. zk3有权限进行数据的获取init

2. 异常:KeeperErrorCode = NoAuth for /act

3. zk2没有权限进行数据的获取