默认匿名权限
ZooKeeper提供了如下几种验证模式(scheme):
- digest:Client端由用户名和密码验证,譬如user:password,digest的密码生成方式是Sha1摘要的base64形式
- auth:不使用任何id,代表任何已确认用户。
- ip:Client端由IP地址验证,譬如172.2.0.0/24
- world:固定用户为anyone,为所有Client端开放权限
- super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)
注意的是,exists操作和getAcl操作并不受ACL许可控制,因此任何客户端可以查询节点的状态和节点的ACL。
节点的权限(perms)主要有以下几种:
- Create 允许对子节点Create操作
- Read 允许对本节点GetChildren和GetData操作
- Write 允许对本节点SetData操作
- Delete 允许对子节点Delete操作
- Admin 允许对本节点setAcl操作
Znode ACL权限用一个int型的十进制数字perms表示,perms的5个二进制位分别表示setacl、delete、create、write、read。比如0x1f=adcwr,0x1=----r,0x15=a-c-r。
以下示例在创建节点的时候,赋予该节点的权限为默认匿名权限,权限位为adcwr,换成十进制数字表示就是3
1,十六进制则是0x1f。代码如下:
package org.zero01.zk.demo;
import org.apache.zookeeper.*;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Stat;
import java.util.List;
/**
* @program: zookeeper-connection
* @description: zookeeper 操作节点acl权限演示
* @author: 01
* @create: 2018-04-27 09:20
**/
public class ZKNodeAcl implements Watcher {
// 集群模式则是多个ip
private static final String zkServerIps = "192.168.190.128:2181,192.168.190.129:2181,192.168.190.130:2181";
// 超时时间
private static final Integer timeout = 5000;
private static ZooKeeper zooKeeper;
private static Stat stat;
// Watch事件通知方法
public void process(WatchedEvent watchedEvent) {
}
public static void main(String[] args) throws Exception {
zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());
// 这样创建的节点是默认匿名权限的:ZooDefs.Ids.OPEN_ACL_UNSAFE
String result = zooKeeper.create("/testAclNode", "test data".getBytes(), ZooDefs.Ids.OPEN_ACL_UNSAFE, CreateMode.PERSISTENT);
Thread.sleep(1000);
// 获取该节点的acl权限信息
List<ACL> aclList = zooKeeper.getACL("/testAclNode", stat);
for (ACL acl : aclList) {
System.out.println("权限scheme id:" + acl.getId());
// 获取的是十进制的int型数字
System.out.println("权限位:" + acl.getPerms());
}
// 避免与服务端的连接马上断开
Thread.sleep(1000);
}
}
控制台输出内容如下:
权限scheme id:‘world,‘anyone
权限位:31
ZooDefs.Ids可以直接使用的权限如下:
ZooDefs.Ids.OPEN_ACL_UNSAFE // 默认匿名权限,权限scheme id:‘world,‘anyone,权限位:31(adcwr)
ZooDefs.Ids.READ_ACL_UNSAFE // 只读权限,权限scheme id:‘world,‘anyone,权限位:1(r)
自定义用户权限
本节介绍如何自定义用户权限,这里使用digest进行演示,因为平时工作中digest是用得最多的。我们都知道digest是使用密文进行设置的,所以我们需要自定义一个工具类来加密明文密码得到密文密码。代码如下:
package org.zero01.zk.util;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;
public class AclUtils {
public static String getDigestUserPwd(String id) throws Exception {
// 加密明文密码
return DigestAuthenticationProvider.generateDigest(id);
}
}
然后修改 ZKNodeAcl 类的代码如下:
package org.zero01.zk.demo;
import org.apache.zookeeper.*;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.data.Stat;
import org.zero01.zk.util.AclUtils;
import java.util.ArrayList;
import java.util.List;
/**
* @program: zookeeper-connection
* @description: zookeeper 操作节点acl权限演示
* @author: 01
* @create: 2018-04-27 09:20
**/
public class ZKNodeAcl implements Watcher {
// 集群模式则是多个ip
private static final String zkServerIps = "192.168.190.128:2181,192.168.190.129:2181,192.168.190.130:2181";
// 超时时间
private static final Integer timeout = 5000;
private static ZooKeeper zooKeeper;
private static Stat stat;
public void process(WatchedEvent watchedEvent) {
}
public static void main(String[] args) throws Exception {
zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());
// 自定义用户认证访问
List<ACL> acls = new ArrayList<ACL>(); // 权限列表
// 第一个参数是权限scheme,第二个参数是加密后的用户名和密码
Id user1 = new Id("digest", AclUtils.getDigestUserPwd("user1:123456a"));
Id user2 = new Id("digest", AclUtils.getDigestUserPwd("user2:123456b"));
acls.add(new ACL(ZooDefs.Perms.ALL, user1)); // 给予所有权限
acls.add(new ACL(ZooDefs.Perms.READ, user2)); // 只给予读权限
acls.add(new ACL(ZooDefs.Perms.DELETE | ZooDefs.Perms.CREATE, user2)); // 多个权限的给予方式,使用 | 位运算符
// 使用自定义的权限列表去创建节点
String result = zooKeeper.create("/testDigestNode", "test data".getBytes(), acls, CreateMode.PERSISTENT);
if (result != null) {
System.out.println("创建节点:\t" + result + "\t成功...");
}
Thread.sleep(1000);
// 获取该节点的acl权限信息
List<ACL> aclList = zooKeeper.getACL("/testDigestNode", stat);
for (ACL acl : aclList) {
System.out.println("\n-----------------------\n");
System.out.println("权限scheme id:" + acl.getId());
System.out.println("权限位:" + acl.getPerms());
}
Thread.sleep(1000);
}
}
控制台输出信息如下:
创建节点: /testDigestNode 成功...
-----------------------
权限scheme id:‘digest,‘user1:TQYTqd46qVVbWpOd02tLO5qb+JM=
权限位:31
-----------------------
权限scheme id:‘digest,‘user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=
权限位:1
-----------------------
权限scheme id:‘digest,‘user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=
权限位:12
我们可以到服务器上查看该节点的ACL信息是否一致:
[zk: localhost:2181(CONNECTED) 15] getAcl /testDigestNode
‘digest,‘user1:TQYTqd46qVVbWpOd02tLO5qb+JM=
: cdrwa
‘digest,‘user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=
: r
‘digest,‘user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=
: cd
[zk: localhost:2181(CONNECTED) 16]
如果我们需要操作一个设置了digest权限的节点,那么就需要登录用于相应权限的用户才行。在代码上也是如此,我们需要先通过addAuthInfo添加用户信息(账户:明文密码)才能够操作其拥有权限的节点。以下示例演示如何使用addAuthInfo添加用户信息并操作相应的节点,修改main方法的代码如下:
...
public class ZKNodeAcl implements Watcher {
...
public static void main(String[] args) throws Exception {
zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());
// 注册过的用户必须通过addAuthInfo才能操作节点,参考命令行 addauth
zooKeeper.addAuthInfo("digest", "user1:123456a".getBytes());
String result = zooKeeper.create("/testDigestNode/testOneNode", "test data".getBytes(), ZooDefs.Ids.CREATOR_ALL_ACL, CreateMode.PERSISTENT);
if (result != null) {
System.out.println("创建子节点:\t" + result + "\t成功...");
}
// 获取节点数据
byte[] data = zooKeeper.getData("/testDigestNode/testOneNode", false, stat);
System.out.println(new String(data));
// 设置节点数据
zooKeeper.setData("/testDigestNode/testOneNode", "new test data".getBytes(), 0);
Thread.sleep(1000);
}
}
控制台输出信息如下:
创建子节点: /testDigestNode/testOneNode 成功...
test data
ip权限
以上我们简单演示了默认匿名权限以及自定义的digest权限,下面简单演示下自定义ip权限的设置方式。修改 ZKNodeAcl 类中的main方法代码如下:
...
public class ZKNodeAcl implements Watcher {
...
public static void main(String[] args) throws Exception {
zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());
// ip方式的acl
List<ACL> aclsIP = new ArrayList<ACL>(); // 权限列表
// 第一个参数是权限scheme,第二个参数是ip地址
Id ipId1 = new Id("ip", "192.168.190.1");
aclsIP.add(new ACL(ZooDefs.Perms.ALL, ipId1)); // 给予所有权限
// 使用自定义的权限列表去创建节点
String result = zooKeeper.create("/testIpNode", "this is test ip node data".getBytes(), aclsIP, CreateMode.PERSISTENT);
if (result != null) {
System.out.println("创建节点:\t" + result + "\t成功...");
}
Thread.sleep(1000);
// 获取该节点的acl权限信息
List<ACL> aclList = zooKeeper.getACL(result, stat);
for (ACL acl : aclList) {
System.out.println("\n-----------------------\n");
System.out.println("权限scheme id:" + acl.getId());
System.out.println("权限位:" + acl.getPerms());
}
Thread.sleep(1000);
// 获取节点数据,验证ip是否有权限
byte[] data = zooKeeper.getData("/testIpNode", false, stat);
System.out.println("\n-----------------------\n");
System.out.println(result + " 节点当前的数据为:" + new String(data));
}
}
控制台输出信息如下:
创建节点: /testIpNode 成功...
-----------------------
权限scheme id:‘ip,‘192.168.190.1
权限位:31
-----------------------
/testIpNode 节点当前的数据为:this is test ip node data
原文地址:http://blog.51cto.com/zero01/2108483