ACL(Access Control List),Zookeeper作为一个分布式协调框架,其内部存储的都是一些关乎分布式系统运行时状态的元数据,尤其是设计到一些分布式锁,Master选举和协调等应用场景。我们需要有效地保障Zookeeper中的数据安全,Zookeeper提供一套完善的ACL权限控制机制来保障数据的安全。
ZK提供了三种模式。权限模式,授权对象,权限。
权限模式:Scheme,开发人员最多使用的如下四种权限模式:
IP:
ip模式通过ip地址粒度来进行权限控制,例如配置了:ip:192.168.1.107即表示权限控制都是针对这个ip地址的,同时也支持按网段分配,比如:192.168.1.*
Digest:
digest是最常用的权限控制模式,也更符合我们对权限控制的认识,其类似于"username:password"形式的权限标识进行权限配置。ZK会对形成的权限标识先后进行两次编码处理,分别是SHA-1加密算法,BASE64编码。
World:
World是一直最开发的权限控制模式。这种模式可以看做特殊的Digest,它仅仅是标识而已。
Super:
超级用户模式,在超级用户模式下可以对ZK任意进行操作。
权限对象:指的是权限赋予的用户或者一个指定的实体,例如IP地址火机器等。在不同的模式下,授权对象是不同的。这种模式和授权对象一一对应。
权限:权限就是指哪些通过权限检测后可以被允许执行的操作,在ZK中,对数据的操作权限分别如下五大类:
CREATE、DELETE、READ、WRITE、ADMIN
我们通过一个示例,详细学习Auth的概念和其目的。Auth示例:
【ZookeeperAuth】
1 package bhz.zookeeper.auth;
2
3 import java.util.ArrayList;
4 import java.util.List;
5 import java.util.concurrent.CountDownLatch;
6 import java.util.concurrent.atomic.AtomicInteger;
7
8 import org.apache.zookeeper.CreateMode;
9 import org.apache.zookeeper.WatchedEvent;
10 import org.apache.zookeeper.Watcher;
11 import org.apache.zookeeper.Watcher.Event.EventType;
12 import org.apache.zookeeper.Watcher.Event.KeeperState;
13 import org.apache.zookeeper.ZooDefs.Ids;
14 import org.apache.zookeeper.ZooKeeper;
15 import org.apache.zookeeper.data.ACL;
16 import org.apache.zookeeper.data.Stat;
17 /**
18 * Zookeeper 节点授权
19 * @author(alienware)
20 * @since 2015-6-14
21 */
22 public class ZookeeperAuth implements Watcher {
23
24 /** 连接地址 */
25 final static String CONNECT_ADDR = "192.168.80.88:2181";
26 /** 测试路径 */
27 final static String PATH = "/testAuth";
28 final static String PATH_DEL = "/testAuth/delNode";
29 /** 认证类型 */
30 final static String authentication_type = "digest";
31 /** 认证正确方法 */
32 final static String correctAuthentication = "123456";
33 /** 认证错误方法 */
34 final static String badAuthentication = "654321";
35
36 static ZooKeeper zk = null;
37 /** 计时器 */
38 AtomicInteger seq = new AtomicInteger();
39 /** 标识 */
40 private static final String LOG_PREFIX_OF_MAIN = "【Main】";
41
42 private CountDownLatch connectedSemaphore = new CountDownLatch(1);
43
44 @Override
45 public void process(WatchedEvent event) {
46 try {
47 Thread.sleep(200);
48 } catch (InterruptedException e) {
49 e.printStackTrace();
50 }
51 if (event==null) {
52 return;
53 }
54 // 连接状态
55 KeeperState keeperState = event.getState();
56 // 事件类型
57 EventType eventType = event.getType();
58 // 受影响的path
59 String path = event.getPath();
60
61 String logPrefix = "【Watcher-" + this.seq.incrementAndGet() + "】";
62
63 System.out.println(logPrefix + "收到Watcher通知");
64 System.out.println(logPrefix + "连接状态:\t" + keeperState.toString());
65 System.out.println(logPrefix + "事件类型:\t" + eventType.toString());
66 if (KeeperState.SyncConnected == keeperState) {
67 // 成功连接上ZK服务器
68 if (EventType.None == eventType) {
69 System.out.println(logPrefix + "成功连接上ZK服务器");
70 connectedSemaphore.countDown();
71 }
72 } else if (KeeperState.Disconnected == keeperState) {
73 System.out.println(logPrefix + "与ZK服务器断开连接");
74 } else if (KeeperState.AuthFailed == keeperState) {
75 System.out.println(logPrefix + "权限检查失败");
76 } else if (KeeperState.Expired == keeperState) {
77 System.out.println(logPrefix + "会话失效");
78 }
79 System.out.println("--------------------------------------------");
80 }
81 /**
82 * 创建ZK连接
83 *
84 * @param connectString
85 * ZK服务器地址列表
86 * @param sessionTimeout
87 * Session超时时间
88 */
89 public void createConnection(String connectString, int sessionTimeout) {
90 this.releaseConnection();
91 try {
92 zk = new ZooKeeper(connectString, sessionTimeout, this);
93 //添加节点授权
94 zk.addAuthInfo(authentication_type,correctAuthentication.getBytes());
95 System.out.println(LOG_PREFIX_OF_MAIN + "开始连接ZK服务器");
96 //倒数等待
97 connectedSemaphore.await();
98 } catch (Exception e) {
99 e.printStackTrace();
100 }
101 }
102
103 /**
104 * 关闭ZK连接
105 */
106 public void releaseConnection() {
107 if (this.zk!=null) {
108 try {
109 this.zk.close();
110 } catch (InterruptedException e) {
111 }
112 }
113 }
114
115 /**
116 *
117 * <B>方法名称:</B>测试函数<BR>
118 * <B>概要说明:</B>测试认证<BR>
119 * @param args
120 * @throws Exception
121 */
122 public static void main(String[] args) throws Exception {
123
124 ZookeeperAuth testAuth = new ZookeeperAuth();
125 testAuth.createConnection(CONNECT_ADDR,2000);
126 List<ACL> acls = new ArrayList<ACL>(1);
127 for (ACL ids_acl : Ids.CREATOR_ALL_ACL) {
128 acls.add(ids_acl);
129 }
130
131 try {
132 zk.create(PATH, "init content".getBytes(), acls, CreateMode.PERSISTENT);
133 System.out.println("使用授权key:" + correctAuthentication + "创建节点:"+ PATH + ", 初始内容是: init content");
134 } catch (Exception e) {
135 e.printStackTrace();
136 }
137 try {
138 zk.create(PATH_DEL, "will be deleted! ".getBytes(), acls, CreateMode.PERSISTENT);
139 System.out.println("使用授权key:" + correctAuthentication + "创建节点:"+ PATH_DEL + ", 初始内容是: init content");
140 } catch (Exception e) {
141 e.printStackTrace();
142 }
143
144 // 获取数据
145 getDataByNoAuthentication();
146 getDataByBadAuthentication();
147 getDataByCorrectAuthentication();
148
149 // 更新数据
150 updateDataByNoAuthentication();
151 updateDataByBadAuthentication();
152 updateDataByCorrectAuthentication();
153
154 // 删除数据
155 deleteNodeByBadAuthentication();
156 deleteNodeByNoAuthentication();
157 deleteNodeByCorrectAuthentication();
158 //
159 Thread.sleep(1000);
160
161 deleteParent();
162 //释放连接
163 testAuth.releaseConnection();
164 }
165 /** 获取数据:采用错误的密码 */
166 static void getDataByBadAuthentication() {
167 String prefix = "[使用错误的授权信息]";
168 try {
169 ZooKeeper badzk = new ZooKeeper(CONNECT_ADDR, 2000, null);
170 //授权
171 badzk.addAuthInfo(authentication_type,badAuthentication.getBytes());
172 Thread.sleep(2000);
173 System.out.println(prefix + "获取数据:" + PATH);
174 System.out.println(prefix + "成功获取数据:" + badzk.getData(PATH, false, null));
175 } catch (Exception e) {
176 System.err.println(prefix + "获取数据失败,原因:" + e.getMessage());
177 }
178 }
179
180 /** 获取数据:不采用密码 */
181 static void getDataByNoAuthentication() {
182 String prefix = "[不使用任何授权信息]";
183 try {
184 System.out.println(prefix + "获取数据:" + PATH);
185 ZooKeeper nozk = new ZooKeeper(CONNECT_ADDR, 2000, null);
186 Thread.sleep(2000);
187 System.out.println(prefix + "成功获取数据:" + nozk.getData(PATH, false, null));
188 } catch (Exception e) {
189 System.err.println(prefix + "获取数据失败,原因:" + e.getMessage());
190 }
191 }
192
193 /** 采用正确的密码 */
194 static void getDataByCorrectAuthentication() {
195 String prefix = "[使用正确的授权信息]";
196 try {
197 System.out.println(prefix + "获取数据:" + PATH);
198
199 System.out.println(prefix + "成功获取数据:" + zk.getData(PATH, false, null));
200 } catch (Exception e) {
201 System.out.println(prefix + "获取数据失败,原因:" + e.getMessage());
202 }
203 }
204
205 /**
206 * 更新数据:不采用密码
207 */
208 static void updateDataByNoAuthentication() {
209
210 String prefix = "[不使用任何授权信息]";
211
212 System.out.println(prefix + "更新数据: " + PATH);
213 try {
214 ZooKeeper nozk = new ZooKeeper(CONNECT_ADDR, 2000, null);
215 Thread.sleep(2000);
216 Stat stat = nozk.exists(PATH, false);
217 if (stat!=null) {
218 nozk.setData(PATH, prefix.getBytes(), -1);
219 System.out.println(prefix + "更新成功");
220 }
221 } catch (Exception e) {
222 System.err.println(prefix + "更新失败,原因是:" + e.getMessage());
223 }
224 }
225
226 /**
227 * 更新数据:采用错误的密码
228 */
229 static void updateDataByBadAuthentication() {
230
231 String prefix = "[使用错误的授权信息]";
232
233 System.out.println(prefix + "更新数据:" + PATH);
234 try {
235 ZooKeeper badzk = new ZooKeeper(CONNECT_ADDR, 2000, null);
236 //授权
237 badzk.addAuthInfo(authentication_type,badAuthentication.getBytes());
238 Thread.sleep(2000);
239 Stat stat = badzk.exists(PATH, false);
240 if (stat!=null) {
241 badzk.setData(PATH, prefix.getBytes(), -1);
242 System.out.println(prefix + "更新成功");
243 }
244 } catch (Exception e) {
245 System.err.println(prefix + "更新失败,原因是:" + e.getMessage());
246 }
247 }
248
249 /**
250 * 更新数据:采用正确的密码
251 */
252 static void updateDataByCorrectAuthentication() {
253
254 String prefix = "[使用正确的授权信息]";
255
256 System.out.println(prefix + "更新数据:" + PATH);
257 try {
258 Stat stat = zk.exists(PATH, false);
259 if (stat!=null) {
260 zk.setData(PATH, prefix.getBytes(), -1);
261 System.out.println(prefix + "更新成功");
262 }
263 } catch (Exception e) {
264 System.err.println(prefix + "更新失败,原因是:" + e.getMessage());
265 }
266 }
267
268 /**
269 * 不使用密码 删除节点
270 */
271 static void deleteNodeByNoAuthentication() throws Exception {
272
273 String prefix = "[不使用任何授权信息]";
274
275 try {
276 System.out.println(prefix + "删除节点:" + PATH_DEL);
277 ZooKeeper nozk = new ZooKeeper(CONNECT_ADDR, 2000, null);
278 Thread.sleep(2000);
279 Stat stat = nozk.exists(PATH_DEL, false);
280 if (stat!=null) {
281 nozk.delete(PATH_DEL,-1);
282 System.out.println(prefix + "删除成功");
283 }
284 } catch (Exception e) {
285 System.err.println(prefix + "删除失败,原因是:" + e.getMessage());
286 }
287 }
288
289 /**
290 * 采用错误的密码删除节点
291 */
292 static void deleteNodeByBadAuthentication() throws Exception {
293
294 String prefix = "[使用错误的授权信息]";
295
296 try {
297 System.out.println(prefix + "删除节点:" + PATH_DEL);
298 ZooKeeper badzk = new ZooKeeper(CONNECT_ADDR, 2000, null);
299 //授权
300 badzk.addAuthInfo(authentication_type,badAuthentication.getBytes());
301 Thread.sleep(2000);
302 Stat stat = badzk.exists(PATH_DEL, false);
303 if (stat!=null) {
304 badzk.delete(PATH_DEL, -1);
305 System.out.println(prefix + "删除成功");
306 }
307 } catch (Exception e) {
308 System.err.println(prefix + "删除失败,原因是:" + e.getMessage());
309 }
310 }
311
312 /**
313 * 使用正确的密码删除节点
314 */
315 static void deleteNodeByCorrectAuthentication() throws Exception {
316
317 String prefix = "[使用正确的授权信息]";
318
319 try {
320 System.out.println(prefix + "删除节点:" + PATH_DEL);
321 Stat stat = zk.exists(PATH_DEL, false);
322 if (stat!=null) {
323 zk.delete(PATH_DEL, -1);
324 System.out.println(prefix + "删除成功");
325 }
326 } catch (Exception e) {
327 System.out.println(prefix + "删除失败,原因是:" + e.getMessage());
328 }
329 }
330
331 /**
332 * 使用正确的密码删除节点
333 */
334 static void deleteParent() throws Exception {
335 try {
336 Stat stat = zk.exists(PATH_DEL, false);
337 if (stat == null) {
338 zk.delete(PATH, -1);
339 }
340 } catch (Exception e) {
341 e.printStackTrace();
342 }
343 }
344
345 }
业务需求变更永无休止,技术前进就永无止境!
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
