Zookeeper的ACL机制

最新推荐文章于 2025-07-04 16:26:43 发布
原创 最新推荐文章于 2025-07-04 16:26:43 发布 · 400 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#zk

Zookeeper的ACL(Access Control List)机制用于实现细粒度的权限控制,包括Scheme、Id和Permissions三个核心概念。Scheme定义了认证方式,如digest、world、auth等;Id是特定认证的身份标识,如用户名和密码;Permissions则规定了允许的操作,如读、写、创建、删除等。通过结合使用这些元素,Zookeeper可以确保数据的安全访问。在实际应用中,可以通过代码示例设置和验证不同的ACL策略。
  1. ACL机制
               三维: scheme:id:permissions
  • Scheme
              >World
              >Auth
              >Digest
              >Ip
              >Super
              >Sasl(zk3.4.4,默认关闭)
  • Id
              >id与scheme配合使用
  • Permissions              
              >Create(c)
              >Delete(d)
              >Read(r)
              >Write(w)
              >Admin(a)
  1. 代码例子
              
import java.io.IOException;
import java.security.NoSuchAlgorithmException;
import java.util.ArrayList;
import java.util.List;

import org.apache.zookeeper.CreateMode;
import org.apache.zookeeper.KeeperException;
import org.apache.zookeeper.ZooDefs;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.sohu.zk.main.ZkUtils;

public class ZkTester {

	private final static Logger LOG = LoggerFactory.getLogger(ZkTester.class);

	public static final String zk_url = "10.11.156.226:2181";
	public static final String zk_user = "prodev-v1";
	public static final String zk_pwd = "1010abc102c0440eb424835a9aa4c16b";
	public static final int zk_timeout = 5000;

	public void createAuthByIp(ZkUtils z, String path, String data, String ip) 

	public void createAuthByAuth(ZkUtils z, String path, String data) 
	
	public void createAuthByWorld(ZkUtils z, String path, String data) {

		try {
			List<ACL> acls = new ArrayList<ACL>();

			z.connect(zk_url, zk_timeout);
			
			Id id = new Id("world", "anyone");
			ACL acl = new ACL(ZooDefs.Perms.READ, id);
			acls.add(acl);
			  
			z.createByIds(path, data.getBytes(), acls, CreateMode.PERSISTENT);

		} catch (IOException e) {
			e.printStackTrace();

		} catch (KeeperException e) {
			e.printStackTrace();

		} catch (InterruptedException e) {
			e.printStackTrace();
		}

	}

	public void createAuthByDigest(ZkUtils z, String path, String data) {

		try {
			List<ACL> acls = new ArrayList<ACL>();

			z.connectByAuth(zk_url, zk_user, zk_pwd, zk_timeout);

			Id id1 = new Id("digest",
					DigestAuthenticationProvider.generateDigest(String.format(
							"%s:%s", zk_user, zk_pwd)));
			ACL acl1 = new ACL(ZooDefs.Perms.ALL, id1);
			acls.add(acl1);
			z.createByIds(path, data.getBytes(), acls, CreateMode.PERSISTENT);

		} catch (IOException e) {
			e.printStackTrace();

		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();

		} catch (KeeperException e) {
			e.printStackTrace();

		} catch (InterruptedException e) {
			e.printStackTrace();
		}

	}

	public static void main(String arg[]) throws InterruptedException{

		ZkUtils z = new ZkUtils();

		// 添加第一个id,采用用户名密码形式
		new ZkTester().createAuthByDigest(z, "/services", "digest");

		
		// 添加第二个id,所有用户可读权限
		new ZkTester().createAuthByWorld(z, "/services123", "world");
	
		z.close();
		
	}
}




import java.io.IOException;
import java.util.List;
import java.util.concurrent.CountDownLatch;

import org.apache.zookeeper.CreateMode;
import org.apache.zookeeper.KeeperException;
import org.apache.zookeeper.WatchedEvent;
import org.apache.zookeeper.Watcher;
import org.apache.zookeeper.Watcher.Event.KeeperState;
import org.apache.zookeeper.ZooDefs.Ids;
import org.apache.zookeeper.ZooKeeper;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Stat;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class ZkUtils implements Watcher {

	private final static Logger LOG = LoggerFactory.getLogger(ZkUtils.class);

	private ZooKeeper zooKeeper;

	protected CountDownLatch countDownLatch = new CountDownLatch(1);

	public void connectByAuth(String hosts, String user, String pwd,
			int sessiontime) throws IOException, InterruptedException {
		zooKeeper = new ZooKeeper(hosts, sessiontime, this);
		zooKeeper.addAuthInfo("digest", (user + ":" + pwd).getBytes());
		countDownLatch.await();
	}

	public void connect(String hosts, int sessiontime) throws IOException,
			InterruptedException {
		zooKeeper = new ZooKeeper(hosts, sessiontime, this);
		countDownLatch.await();
	}

	/**
	 * 创建持久态的znode,比支持多层创建.比如在创建/parent/child的情况下,无/parent.无法通过.
	 * 
	 * @param path
	 *            eg: /parent/child1
	 * @param data
	 * @throws InterruptedException
	 * @throws KeeperException
	 */
	public void create(String path, byte[] data) throws KeeperException,
			InterruptedException {
		this.zooKeeper.create(path, data, Ids.CREATOR_ALL_ACL,
				CreateMode.PERSISTENT/* 此处创建的为持久态的节点,可为瞬态 */);
	}

	public void createByIds(String path, byte[] data, List<ACL> acls,
			CreateMode mode) throws KeeperException, InterruptedException {
		this.zooKeeper.create(path, data, acls, mode);

	}
	
	public void setACL(String path,  List<ACL> acls, int version) throws KeeperException, InterruptedException{
		this.zooKeeper.setACL(path, acls, version);
	}
	
	
	/**
	 * 获取节点的孩子信息
	 * 
	 * @param path
	 * @throws KeeperException
	 * @throws InterruptedException
	 */
	public void getChild(String path) throws KeeperException,
			InterruptedException {
		try {
			List<String> children = this.zooKeeper.getChildren(path, false);
			if (children.isEmpty()) {
				LOG.info("zk [%s] not node.", path);
				return;
			} else {
				LOG.info("zk [%s] node.", path);
				for (String child : children) {
					System.out.println(child);
				}
			}
		} catch (KeeperException.NoNodeException e) {
			LOG.error("zk [%s] NoNodeException.", path);
			throw e;
		}
	}

	public byte[] getData(String path) throws KeeperException,
			InterruptedException {
		return this.zooKeeper.getData(path, false, null);
	}

	public List<ACL> getAcl(String path) throws KeeperException,
			InterruptedException {
		return this.zooKeeper.getACL(path, new Stat());
	}

	public void process(WatchedEvent event) {
		if (event.getState() == KeeperState.SyncConnected) {
			countDownLatch.countDown();
		}
	}

	public void close() throws InterruptedException {
		zooKeeper.close();
	}
}


【大数据Zookeeper系列】 Zookeeper ACL
weixin_54707168的博客
04-09 428
为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4918
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
zookeeper之znode节点与acl权限设置
m0_71777195的博客
07-02 1089
ZooKeeper是Apache软件基金会的一个软件项目,是一个分布式的,开放源码的分布式应用程序协调服务。它为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册。ZooKeeper是一个典型的分布式数据一致性的解决方案,分布式应用程序可以基于它实现诸如数据发布/订阅、负载均衡、命名服务、分布式协调/通知、集群管理、Master 选举、分布式 锁和分布式队列等功能官网:http://ZooKeeper.apache.org/
说说Zookeeper中的ACL
热门推荐
就是你的博客
08-07 1万+
Access Control在分布式系统中重要性是毋庸置疑的,今天这篇文章来介绍一下Zookeeper中的Access Control(ACL)。 1. 概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。ZookeeperACL,可以从三个维度来理解:一是sch
Zookeeper ACL
Doub1's Blog
05-13 276
Zookeeper ACL控制命令名词解释创建节点设置ACL创建Auth Digest设置ACL策略setAcl auth 例子:setAcl digst 例子:密文生成 命令名词解释 acl Access Control List 访问控制列表 auth Authentication 身份认证,在这里就解释为身份认证比较合理 并不是Authorization(授权),至于为什么下面会说。 digst Digest 摘要认证 创建节点 创建一个普通节点,节点名为nodeName creat
Zookeeper ACL机制
TABE_的博客
10-18 640
目录ACL概述schemeIDpermissionACL特性ACL相关命令 ACL:Access Control List 访问控制列表 ACL概述 ZookeeperACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme: id :perm。 Scheme表示权限模式,ID表示授权对象,Permission表示授权的对象权限。 scheme scheme对应于采用哪种方案来进行权限管理,zookeeper-3.4.4缺省支持下面几种schem
ZooKeeper ACL机制与分布式锁的安全性保障
# 1. ZooKeeper简介 ## 1.1 ZooKeeper的基本概念 在分布式系统中,ZooKeeper是一种用于协调和管理服务的可靠开源协调服务。它提供了一个高性能、高可用性且...ZooKeeperACL机制用于控制对ZooKeeper节点的访问权限,
支持 zookeeper ACL 认证的 Zkui
01-14
Zkui通过ACL认证机制,使得对Zookeeper节点的访问权限可以精细地控制,比如允许某个用户可以读取节点数据,而另一个用户则可以修改节点数据。这样的权限划分可以防止未授权的访问和操作,降低因权限问题导致的系统...
深入理解 ZooKeeperZooKeeperACL实现
mf97532的博客
07-04 810
zookeeper在分布式系统中承担中间件的作用,它管理的每一个节点上可能都存储这重要的信息,因为应用可以读取到任意节点,这就可能造成安全问题,ACL的作用就是帮助zookeeper实现权限控制, 比如对节点的增删改查通过跟踪上面的源码,我们知道了zookeeper的权限acl是如何实现的,以及客户端和服务端之间是如何相互配合的客户端同样是经过主线程跟进不同的命令类型,将请求打包packet发送到服务端服务端将addauth添加认证信息保存在内存中node会被持久化,因为它需要的认证同样被持久化。
zookeeper acl
最新发布
10-14
这些引用是关于Zookeeper ACL机制的。用户说:“上述引用仅供参考,并不是用户真正的需求,请尽可能多的参考用户上一次的问题和你的回答。”但在这个对话中,这是第一个用户消息,所以没有“上一次的问题”。用户上...
zookeeper ACL使用
weixin_30747253的博客
09-11 123
生产环境中,经常会有多个项目使用zookeeper,例如多个hbase集群。每个项目搭建一套独立的zookeeper,无论从机器成本,还是运维成本,都是一笔额外的开销。 然而多项目,多集群共用zookeeper又涉及一个权限隔离的问题。zookeeper本身提供了ACL机制,表示为scheme:id:permissions,第一个字段表示采用哪一种机制,第二个id表示 用户,per...
zookeeperACL
summer_thirtyOne的博客
07-13 822
Zookeeper ACL的实现和UNIX的文件访问权限十分相似,它采用权限位去允许或者禁止对节点个各种操作,包括节点的位范围。但与UNIX的文件访问权限不同的是,ACL不能基于创建者、创建者所在的组和其它用户分配不同的权限,ACL没有Znode的权限拥有者,相反,ACL指定一系列的权限和Ids并将它们起来。 ACL权限: CREATE :可以创建一个子节点 READ:可以获取节点内
zookeeperACL(访问控制)
sky198989的博客
03-02 370
转载:https://www.jianshu.com/p/868f89a70c2c
Zookeeper(七)ACL
weixin_44671233的博客
07-03 297
1. Shell 操作 zookeeper本身提供了ACL机制,表示为scheme: id:permissions,第一个字段表示采用哪一种机制,第二个id表示用户,permissions表示相关权限(如只读,读写,管理等)。 (1)scheme :id 介绍 world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的 auth: 它不需要id, 只要是通过authentication的user都
zookeeperzookeeper基础知识 《ACL
m0_45406092的博客
11-24 700
文章目录1. 概述1.1 scheme1.2 id1.3 permission2. 命令3. 测试3.1 Digest3.1.1 代码生成ID3.1.2 xshell生成ID3.1.3 总结3.3 Auth 明文授权3.3 IP3.4 world Access Control在分布式系统中重要性是毋庸置疑的,今天这篇文章来介绍一下Zookeeper中的Access Control(ACL)。 1. 概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。 而在
Zookeeper 权限控制 ACL
12-18 1350
zookeeperACL(Access Control List,访问控制表)权限在生产环境是特别重要的,所以本章节特别介绍一下。ACL 权限可以针对节点设置相关读写等权限,保障数据安全性。permissions 可以指定不同的权限范围及角色。
ZooKeeper ACL权限控制
weixin_54051652的博客
03-07 6408
ZooKeeper ACL权限控制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值