默认elasticsearch是使用netty作为http的容器,由于netty并没有权限模块,所以默认es没有任何的权限控制,直接通过http就可以进行任何操作,除非把http禁用。但如果你使用elasticsearch-jetty插件,就可以使用jetty自带的权限管理进行一些权限的控制,同时也可以支持通过https协议来访问es,还有就是支持gzip压缩响应信息。 

插件参数 





1.安装 

改插件地址:https://github.com/sonian/elasticsearch-jetty 

这个插件目前是支持0.20.2版本的es,新版本的es有些方法名变了,把源码下下来,把变了名的方法改过来从新编译打包就行。 

打包完后把project home/target/release里面的压缩文件放到es的plugins目录解压, 

修改es配置文件elasticsearch.yml,添加 

http.type: com.sonian.elasticsearch.http.jetty.JettyHttpServerTransportModule 

把项目根目录下的config文件夹里面的文件(除了elasticsearch.yml和logging.yml)复制到es的config目录下。 

启动es。 



2.验证插件是否安装成功 

(1) 

es控制台出现一下字样: 

[2013-04-14 08:45:11,658][INFO ][org.eclipse.jetty.server.Server] [Songbird] jet 

ty-8.1.4.v20120524 

[2013-04-14 08:45:11,845][INFO ][org.eclipse.jetty.server.AbstractConnector] [So 

ngbird] Started SelectChannelConnector@0.0.0.0:9200 

(2) 

随便发送一个请求,如$ curl -I "http://localhost:9200/" 

查看响应头,如果包含Server: Jetty(8.1.4.v20120524)就表示安装成功。 

HTTP/1.1 200 OK 

Content-Type: text/plain;charset=UTF-8 

Access-Control-Allow-Origin: * 

Content-Length: 0 

Server: Jetty(8.1.4.v20120524) 



3.配置ssl使其支持https请求 

配置在原有基础上加上 

sonian.elasticsearch.http.jetty: 

    config: jetty.xml,jetty-ssl.xml 

    ssl_port: 9443 

    keystore_password: "OBF:1nc01vuz1w8f1w1c1rbu1rac1w261w9b1vub1ndq" 





4.添加基本权限控制 

修改es配置文件,添加jetty-hash-auth.xml,jetty-restrict-writes.xml两个文件到config中 

http.type: com.sonian.elasticsearch.http.jetty.JettyHttpServerTransportModule 

sonian.elasticsearch.http.jetty: 

    config: jetty.xml,jetty-hash-auth.xml,jetty-restrict-writes.xml 

其中jetty-hash-auth.xml文件里面引用到realm.properties这个文件配置的权限信息。 

格式如下: 

username: password[,rolename ...] 

即:用户名:密码[,角色1,角色2...] 

可以看看例子: 

superuser: Adm1n,admin,readwrite 

user: Passw0rd,readwrite 

例如第二个就是用户名为user,密码为Passw0rd,角色为readwrite,即有读写的权限。这个权限角色是在jetty-restrict-writes.xml里面设置的。 

jetty-restrict-writes.xml这个文件对es集群的写操作进行了限制,即要通过鉴权才能进行写操作。具体设置可以查看这个文件。 



这时重新启动es,对es进行写入或删除删除操作,如果发现报403错误,就表示配置成功。 

这时就必须在请求头加上权限验证,格式如下: 

参数名:Authorization 

值:Basic + Base64(用户名:密码)    即对用户名和密码进行Base64加密 

如加密后的值为:Basic dXNlcjpQYXNzdzByZA== 

curl方式调用 

curl -v --user username:password http://localhost:9200 



5.日志记录请求 

设置es,把http.type设置成FilterHttpServerTransportModule 

http.type: com.sonian.elasticsearch.http.filter.FilterHttpServerTransportModule 

添加详细设置,该插件可以自由控制不同请求url的日志级别,如一些不是很重要的的请求(如查询集群健康和节点状态),我们把它设置成trace状态,如果是搜索或统计这些重要的查询,我们可以设置记录它的请求的body信息,配置如下。 

sonian.elasticsearch.http.filter: 

    http_filter_chain: ["logging"] 

    http_filter: 

        # Request logging filter 

        logging: 

            logger: request 

            format: text 

            type: com.sonian.elasticsearch.http.filter.logging.LoggingFilterHttpServerAdapter 

            level: INFO 

            log_body: false 

            loggers: 

                stats: 

                    path: ["/_cluster/health", "/_cluster/nodes", "/_cluster/state", "/_cluster/nodes/{node}/stats"] 

                    method: GET 

                    level: TRACE 

                searches: 

                    path: ["/_search", "/_search/scroll", "/_search/scroll/{scroll_id}", "/{index}/_search", 

                            "/{index}/{type}/_search", "/{index}/{type}/{id}/_mlt"] 

                    method: GET, POST 

                    log_body: true 

                count: 

                    path: ["/_count", "/{index}/_count", "/{index}/{type}/_count"] 

                    method: GET, POST 

                    log_body: true 

这样设置的话日志都是写进一个文件里,如果想每天对文件进行拆分,可以修改config里面的logging.yml文件,添加如下内容: 

logger: 

  ........ 

  request: INFO, request_log_file 



additivity: 

  request: false 



appender: 

  ......... 

  request_log_file: 

      type: dailyRollingFile 

      file: ${path.logs}/${cluster.name}_requests.log 

      datePattern: "'.'yyyy-MM-dd" 

      layout: 

        type: pattern 

        conversionPattern: "[%d{ABSOLUTE}] %m%n" 



6.开启GZip压缩响应信息 

只需把jetty-gzip.xml加到config参数就行。

elasticsearch使用jetty进行简单的权限控制的更多相关文章

  1. **CodeIgniter通过hook的方式实现简单的权限控制

    根据自己的实际情况,需要两个文件,一个是权限控制类,Acl,另外一个是权限配置的文件acl.php放在了config这个目录下. Acl这个类放在了application/hook/acl.php.通 ...

  2. JavaWeb项目:Shiro实现简单的权限控制(整合SSM)

    该demo整合Shiro的相关配置参考开涛的博客 数据库表格相关设计  表格设计得比较简单,导航栏直接由角色表auth_role的角色描述vRoleDesc(父结点)和角色相关权限中的权限描述(标记为 ...

  3. [PHP] 最简单的权限控制设计

    假设url部分我们只有action和method , 某个控制器下的某个方法 , 比如:log/loginlog   查看日志下的登陆日志, action就是log , method就是loginlo ...

  4. webapi框架搭建-安全机制(三)-简单的基于角色的权限控制

    webapi框架搭建系列博客 上一篇已经完成了“身份验证”,如果只是想简单的实现基于角色的权限管理,我们基本上不用写代码,微软已经提供了authorize特性,直接用就行. Authorize特性的使 ...

  5. ThinkPHP框架下基于RBAC的权限控制模式详解

    这几天因为要做一个项目,需要可以对Web应用中通用功能进行封装,其中一个很重要的涉及到了对用户.角色和权限部分的灵活管理.所以基于TP框架自己封装了一个对操作权限和菜单权限进行灵活配置的可控制模式. ...

  6. WPF wpf中按钮操作权限控制

    权限控制我们有很多种方式可以实现. 这次项目中做个简单的权限控制,我们在所有按钮触发前判断,有权限则可执行. 我们自定义一个命令类. public class DelegateCommand : IC ...

  7. React+DvaJS 之 hook 路由权限控制

    博客 学院 下载 GitChat TinyMind 论坛 APP 问答 商城 VIP 活动 招聘 ITeye 写博客 发Chat 登录注册 原 React+DvaJS 之 hook 路由权限控制 20 ...

  8. RABC权限控制(二级菜单实现)

    目前大部分系统由于用户体验,基本上菜单不会做的很深,以二级菜单为例,做了一个简单的权限控制实现,可精确到按钮级别(基于django),下面具体看看实现 1.表结构的设计 无论开发什么都需要先梳理清楚需 ...

  9. 两种RBAC权限控制模型详解

    序言 由于最近一直卡在权限控制这个坎上,原来设计的比较简单的权限控制思路已经无法满足比较复杂一些的场景,因此一直在探索一种在大部分场景下比较通用的权限模型. 首先,这里说明一下两种RBAC权限模型分别 ...

随机推荐

  1. Nginx简单配置,部分来源于网络

    nginx.conf listener监听端口 server_name监听域名 location{}是用来为匹配的 URI 进行配置,URI 即语法中的“/uri/”.location  / { }匹 ...

  2. javascript焦点图左右按钮简单自动轮播

    这里把css和html合在一块写了,这块代码只是布局和样式不是重点 <!DOCTYPE html> <html> <head> <meta charset=& ...

  3. matlab mse函数

    mse是检验神经网络算法的误差分析; mse是平均平方误差性能函数,是网络性能函数.平方误差就是指误差的平方.

  4. a标签包含块级元素问题

    a标签包含块级元素是不符合W3c标准的,但是淘宝也有这样的布局暂且认为可以这样(有时候布局需要这样写) 当a标签包含了div这样的块级元素时a标签是要转换成块级元素的使用display:block.但 ...

  5. .net dynamic动态加属性

    class Test : System.Dynamic.DynamicObject { public override bool TryGetMember(System.Dynamic.GetMemb ...

  6. sql随机

    想从MySQL数据库中随机取一条或者N条记录时,最好把RAND()生成随机数放在JOIN子查询中以提高效率. SELECT id FROM table ORDER BY RAND() LIMIT n; ...

  7. 对SNS网站现状和未来的一些想法——以我对人人网的体验为例

    现在对人人网越来越没有兴趣了,上面的照片.状态也越来越少了,反而是朋友圈里大家比较活跃. 我觉得在网上发内容的,至少是希望得到大家关注的,可是为什么人人越来越被大家嫌弃了呢? 人人上的消息越来越被淹没 ...

  8. Struts2如何传值到jsp页面

    Struts2如何传值到jsp页面 不是action传值到jsp页面,而是jsp页面获取action中的属性值,或者范围(如request,session,application等)里的值.所以,有两 ...

  9. PHP修改记录

    1. Http请求错误--20151123 参考网址:http://www.lvtao.net/dev/php-nginx-uploadfiy.html 是配置问题,修改php.ini文件: uplo ...

  10. LeetCode OJ 189. Rotate Array

    Rotate an array of n elements to the right by k steps. For example, with n = 7 and k = 3, the array  ...