参考:https://blog.csdn.net/liuxiao723846/article/details/79391650

ZK 类似文件系统,Client 可以在上面创建节点、更新节点、删除节点等如何做到权限的控制?查阅文档,zk的ack(Access Control List)能够保证权限,但是调研完后发现它不是很好用。

ACL 权限控制,使用:schema:id:permission 来标识,主要涵盖 3 个方面:

权限模式(Schema):鉴权的策略
授权对象(ID)
权限(Permission)
其特性如下:
ZooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限
每个znode支持设置多种权限控制方案和多个权限
子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点
一、接下来,我们逐一讲解schema、id和permission三个知识点。

1、schema:
ZooKeeper内置了一些权限控制方案,可以用以下方案为每个节点设置权限:
方案 描述
world 只有一个用户:anyone,代表所有人(默认)
ip 使用IP地址认证
auth 使用已添加认证的用户认证
digest 使用“用户名:密码”方式认证
2、id:
授权对象ID是指,权限赋予的用户或者一个实体,例如:IP 地址或者机器。授权模式 schema 与 授权对象 ID 之间关系:

3、权限permission:
权限 ACL简写 描述
CREATE c 可以创建子节点
DELETE d 可以删除子节点(仅下一级节点)
READ r 可以读取节点数据及显示子节点列表
WRITE w 可以设置节点数据
ADMIN a 可以设置节点访问控制列表权限
二、权限相关命令:
命令 使用方式 描述
getAcl getAcl <path> 读取ACL权限
setAcl setAcl <path> <acl> 设置ACL权限
addauth addauth <scheme> <auth> 添加认证用户
三、实战:
1、World方案:
1)设置方式

setAcl <path> world:anyone:<acl>

2)客户端实例:

[zk: localhost:2181(CONNECTED) 0] create /node1 1

Created /node1

[zk: localhost:2181(CONNECTED) 1] getAcl /node1

'world,'anyone  #默认为world方案

: cdrwa #任何人都拥有所有权限

#可以用以下方式设置:

[zk: localhost:2181(CONNECTED) 2] setAcl /node1 world:anyone:cdrwa

cZxid = 0x19000002a1

ctime = Thu May 11 22:00:00 CST 2017

mZxid = 0x19000002a1

mtime = Thu May 11 22:00:00 CST 2017

pZxid = 0x19000002a1

cversion = 0

dataVersion = 0

aclVersion = 1

ephemeralOwner = 0x0

dataLength = 1

numChildren = 0

2、IP方案:

1)设置方式

setAcl <path> ip:<ip>:<acl>

<ip>:可以是具体IP也可以是IP/bit格式,即IP转换为二进制,匹配前bit位,如192.168.0.0/16匹配192.168.*.*
2)客户端实例

[zk: localhost:2181(CONNECTED) 0] create /node2 1

Created /node2

[zk: localhost:2181(CONNECTED) 1] setAcl /node2 ip:192.168.100.1:cdrwa #设置IP:192.168.100.1 拥有所有权限

cZxid = 0x1900000239

ctime = Thu May 11 22:00:00 CST 2017

mZxid = 0x1900000239

mtime = Thu May 11 22:00:00 CST 2017

pZxid = 0x1900000239

cversion = 0

dataVersion = 0

aclVersion = 1

ephemeralOwner = 0x0

dataLength = 1

numChildren = 0

[zk: localhost:2181(CONNECTED) 2] getAcl /node2

'ip,'192.168.100.1

: cdrwa

#使用IP非 192.168.100.1 的机器

[zk: localhost:2181(CONNECTED) 0] get /node2

Authentication is not valid : /node2 #没有权限

[zk: localhost:2181(CONNECTED) 1] delete /node2 #删除成功(因为设置DELETE权限仅对下一级子节点有效,并不包含此节点)

3、Auth方案
1)设置方式

addauth digest <user>:<password> #添加认证用户

setAcl <path> auth:<user>:<acl>

2)客户端实例

[zk: localhost:(CONNECTED) ] create /node3

Created /node3

[zk: localhost:(CONNECTED) ] addauth digest yoonper: #添加认证用户

[zk: localhost:(CONNECTED) ] setAcl /node3 auth:yoonper:cdrwa

cZxid = 0x19000002b8

ctime = Thu May  :: CST

mZxid = 0x19000002b8

mtime = Thu May  :: CST

pZxid = 0x19000002b8

cversion =

dataVersion =

aclVersion =

ephemeralOwner = 0x0

dataLength =

numChildren = 

[zk: localhost:(CONNECTED) ] getAcl /node3

'digest,'yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=

: cdrwa

[zk: localhost:(CONNECTED) ] get /node3

 #刚才已经添加认证用户,可以直接读取数据,断开会话重连需要重新addauth添加认证用户

cZxid = 0x1900000418

ctime = Thu May  :: CST

mZxid = 0x1900000418

mtime = Thu May  :: CST

pZxid = 0x1900000418

cversion =

dataVersion =

aclVersion =

ephemeralOwner = 0x0

dataLength =

numChildren =

4、Digest方案
1)设置方式

setAcl <path> digest:<user>:<password>:<acl>

这里的密码是经过SHA1及BASE64处理的密文,在SHELL中可以通过以下命令计算:

echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64

先来计算一个密文

echo -n yoonper:123456 | openssl dgst -binary -sha1 | openssl base64

UvJWhBril5yzpEiA2eV7bwwhfLs=

2)客户端实例

[zk: localhost:(CONNECTED) ] create /node4

Created /node4

#使用是上面算好的密文密码添加权限:

[zk: localhost:(CONNECTED) ] setAcl /node4 digest:yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=:cdrwa

cZxid = 0x19000002e3

ctime = Thu May  :: CST

mZxid = 0x19000002e3

mtime = Thu May  :: CST

pZxid = 0x19000002e3

cversion =

dataVersion =

aclVersion =

ephemeralOwner = 0x0

dataLength =

numChildren = 

[zk: localhost:(CONNECTED) ] getAcl /node4

'digest,'yoonper:UvJWhBril5yzpEiA2eV7bwwhfLs=

: cdrwa

[zk: localhost:(CONNECTED) ] get /node4

Authentication is not valid : /node4 #没有权限

[zk: localhost:(CONNECTED) ] addauth digest yoonper: #添加认证用户

[zk: localhost:(CONNECTED) ] get /node4

 #成功读取数据

cZxid = 0x1900000420

ctime = Thu May  :: CST

mZxid = 0x1900000420

mtime = Thu May  :: CST

pZxid = 0x1900000420

cversion =

dataVersion =

aclVersion =

ephemeralOwner = 0x0

dataLength =

numChildren = 

————————————————

版权声明:本文为CSDN博主「赶路人儿」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/liuxiao723846/article/details/79391650

5、java客户单实例:

import java.io.IOException;

import java.util.concurrent.CountDownLatch;  

import org.apache.zookeeper.CreateMode;

import org.apache.zookeeper.KeeperException;

import org.apache.zookeeper.WatchedEvent;

import org.apache.zookeeper.Watcher;

import org.apache.zookeeper.Watcher.Event.EventType;

import org.apache.zookeeper.Watcher.Event.KeeperState;

import org.apache.zookeeper.ZooDefs.Ids;

import org.apache.zookeeper.ZooKeeper;  

import com.zookeeper.utils.CommonParams;  

public class Zookeeper_Acl_Create  extends CommonParams implements Watcher {  

    private static CountDownLatch latch = new CountDownLatch();  

    private static CountDownLatch countDownLatch = new CountDownLatch();  

    private static ZooKeeper zk = null;  

    public void syncInit() {

        try {

            zk = new ZooKeeper(CONNECTION_IP, ,

                    new Zookeeper_Acl_Create());

            latch.await();

            zk.addAuthInfo("digest", "username:password".getBytes());

            zk.create("/act", "init".getBytes(), Ids.CREATOR_ALL_ACL, CreateMode.EPHEMERAL);

            ZooKeeper zk3 =  new ZooKeeper(CONNECTION_IP, ,

                    null);

            zk3.addAuthInfo("digest", "username:password".getBytes());

            String value2 = new String(zk3.getData("/act", false, null));

            System.out.println("zk3有权限进行数据的获取" + value2);

            ZooKeeper zk2 =  new ZooKeeper(CONNECTION_IP, ,

                    null);

            zk2.addAuthInfo("digest", "super:123".getBytes());

            zk2.getData("/act", false, null);

        } catch (InterruptedException e) {

            e.printStackTrace();

        } catch (IOException e) {

            e.printStackTrace();

        } catch (KeeperException e) {

            System.out.println("异常:" + e.getMessage());

            System.out.println("zk2没有权限进行数据的获取");

            countDownLatch.countDown();

        }

    }  

    @Override

    public void process(WatchedEvent event) {

        if (KeeperState.SyncConnected == event.getState()) {

            if (event.getType() == EventType.None && null == event.getPath()) {

                latch.countDown();

            }

        }

    }  

    public static void main(String[] args) throws InterruptedException {

        Zookeeper_Acl_Create acl_Create = new Zookeeper_Acl_Create();

        acl_Create.syncInit();

        countDownLatch.await();

    }  

}

输出:

zk3有权限进行数据的获取init

异常:KeeperErrorCode = NoAuth for /act

zk2没有权限进行数据的获取

1.ZooKeeper ACL权限控制的更多相关文章

  1. zookeeper的ACL权限控制

    ACL:Access Control List  访问控制列表 1.  简介 0.概述 ACL 权限控制,使用:scheme:id:perm 来标识,主要涵盖 3 个方面: 权限模式(Scheme): ...

  2. Linux系统——ACL权限控制及特殊权限

    ACL权限控制 ACL(access control list),可以提供除属主.属组.其他人的rwx权限之外的细节权限设定 ACL的权限控制 (1)User 使用者 (2)Group 群组 (3)M ...

  3. phalcon: 目录分组后的acl权限控制

    phalcon: 目录分组后的acl权限控制 楼主在做acl权限的时候,发现官方的acl只能针对未分组的目录,如下: app/ ___|./controller ___|./logic ___|./p ...

  4. Zookeeper Acl权限 超级用户权限 怎么跳过ACL密码/账户验证

    Zookeeper的一个节点不知道什么原因无法删除了,查看日志发现是没有权限, 我们之前使用ACL进行Zookeeper节点的权限管理. 可以解决以下三种但不限于以下三种问题: 1.在设置Acl权限时 ...

  5. ZooKeeper学习之路(五)—— ACL权限控制

    一.前言 为了避免存储在Zookeeper上的数据被其他程序或者人为误修改,Zookeeper提供了ACL(Access Control Lists)进行权限控制.只有拥有对应权限的用户才可以对节点进 ...

  6. ZooKeeper系列(五)—— ACL 权限控制

    一.前言 为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制.只有拥有对应权限的用户才可 ...

  7. zookeeper ACL权限

    原文链接:https://www.jianshu.com/p/392248ab27f4 对zookeeper设置ACL属性 我们以zkCli为例,来说明zookeeper对ACL的设置. 使用zkCl ...

  8. 面试题解析|ACL权限控制机制

    ACL(Access Control List)访问控制列表 包括三个方面: 一.权限模式(Scheme) 1.IP:从 IP 地址粒度进行权限控制 2.Digest:最常用,用类似于 usernam ...

  9. ACL 权限控制机制 ?

    UGO(User/Group/Others) 目前在 Linux/Unix 文件系统中使用,也是使用最广泛的权限控制方式.是一种粗 粒度的文件系统权限控制模式. ACL(Access Control ...

随机推荐

  1. vue-router路由传递参数 + get传值query获取

    [步骤] (1)路由配置 或者 (2)传递参数 或者 (3)接收传递参数 或者 [二]步骤小结 [三]参数形式 (1)上面这种是/100形式传递过去 (2)另外还有?count=100的格式,这便是g ...

  2. Django 缓存配置的多种方式

    django 的缓存配置有多种方式,主要包含以下几种: 1.开发调试模式 2.内存模式 3.使用文件 4.直接使用数据库 5.使用redis或者memcache 这里主要是记录一下那些不常用,但是在微 ...

  3. NiFi使用总结 一 hive到hive的PutHiveStreaming processor和SelectHiveQL

    我说实话,NiFi的坑真的挺多的... 1.PutHiveStreaming processor的使用 具体配置可参考:https://community.hortonworks.com/articl ...

  4. VIJOS-P1282 佳佳的魔法照片

    洛谷 P1583 魔法照片 洛谷传送门 JDOJ 1396: VIJOS-P1282 佳佳的魔法照片 JDOJ传送门 Description 一共有n个人(以1--n编号)向佳佳要照片,而佳佳只能把照 ...

  5. python paramiko与linux的连接

    两种使用paramiko连接到linux服务器的代码 方式一: 1 ssh = paramiko.SSHClient() 2 ssh.set_missing_host_key_policy(param ...

  6. 常见网页编辑器(富文本,Markdown,代码编辑等)

    编辑器:网页不常用的功能,但却又是不可少的功能,如果要造个编辑器轮子,它可以把人玩死!!前端几大禁忌就有富文本, 为什么都说富文本编辑器是天坑? 下面记录一下常见的一些编辑器,该文随时更新: 富文本编 ...

  7. 【Codeforces】B. Div Times Mod

    B. Div Times Mod time limit per test 1 second memory limit per test 256 megabytes input standard inp ...

  8. pytorch指定使用的单个GPU

    1.pycharm里直接在代码中加入下面 import os os.environ["CUDA_VISIBLE_DEVICES"] = "2" 2.在终端指定使 ...

  9. Salesforce 开发整理(六) Visualforce分页

    分页的实现总体上分真分页和假分页. 所谓真分页指页面上列出来的数据就是实际查询的数据,假分页则是无论页面上一次显示多少条记录,实际上后台已经加载了所有的记录,分页只是为了展示给用户查看.今天分享一个V ...

  10. Gamma阶段第七次scrum meeting

    每日任务内容 队员 昨日完成任务 明日要完成的任务 张圆宁 #91 用户体验与优化https://github.com/rRetr0Git/rateMyCourse/issues/91(持续完成) # ...