使用Java API操作zookeeper的acl权限-原创手记-慕课网

默认匿名权限

ZooKeeper提供了如下几种验证模式（scheme）：

digest：Client端由用户名和密码验证，譬如user:password，digest的密码生成方式是Sha1摘要的base64形式
auth：不使用任何id，代表任何已确认用户。
ip：Client端由IP地址验证，譬如172.2.0.0/24
world：固定用户为anyone，为所有Client端开放权限
super：在这种scheme情况下，对应的id拥有超级权限，可以做任何事情(cdrwa）

注意的是，exists操作和getAcl操作并不受ACL许可控制，因此任何客户端可以查询节点的状态和节点的ACL。

节点的权限（perms）主要有以下几种：

Create 允许对子节点Create操作
Read 允许对本节点GetChildren和GetData操作
Write 允许对本节点SetData操作
Delete 允许对子节点Delete操作
Admin 允许对本节点setAcl操作

Znode ACL权限用一个int型的十进制数字perms表示，perms的5个二进制位分别表示setacl、delete、create、write、read。比如0x1f=adcwr，0x1=----r，0x15=a-c-r。

以下示例在创建节点的时候，赋予该节点的权限为默认匿名权限，权限位为adcwr，换成十进制数字表示就是3
1，十六进制则是0x1f。代码如下：

package org.zero01.zk.demo;import org.apache.zookeeper.*;import org.apache.zookeeper.data.ACL;import org.apache.zookeeper.data.Stat;import java.util.List;/** * @program: zookeeper-connection * @description: zookeeper 操作节点acl权限演示 * @author: 01 * @create: 2018-04-27 09:20 **/public class ZKNodeAcl implements Watcher {    // 集群模式则是多个ip    private static final String zkServerIps = "192.168.190.128:2181,192.168.190.129:2181,192.168.190.130:2181";    // 超时时间    private static final Integer timeout = 5000;    private static ZooKeeper zooKeeper;    private static Stat stat;    // Watch事件通知方法    public void process(WatchedEvent watchedEvent) {    }    public static void main(String[] args) throws Exception {        zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());        // 这样创建的节点是默认匿名权限的：ZooDefs.Ids.OPEN_ACL_UNSAFE        String result = zooKeeper.create("/testAclNode", "test data".getBytes(), ZooDefs.Ids.OPEN_ACL_UNSAFE, CreateMode.PERSISTENT);        Thread.sleep(1000);        // 获取该节点的acl权限信息        List<ACL> aclList = zooKeeper.getACL("/testAclNode", stat);        for (ACL acl : aclList) {            System.out.println("权限scheme id：" + acl.getId());            // 获取的是十进制的int型数字            System.out.println("权限位：" + acl.getPerms());        }        // 避免与服务端的连接马上断开        Thread.sleep(1000);    }}

控制台输出内容如下：

权限scheme id：'world,'anyone权限位：31

ZooDefs.Ids可以直接使用的权限如下：

ZooDefs.Ids.OPEN_ACL_UNSAFE   // 默认匿名权限，权限scheme id：'world,'anyone，权限位：31（adcwr）ZooDefs.Ids.READ_ACL_UNSAFE  // 只读权限，权限scheme id：'world,'anyone，权限位：1（r）

自定义用户权限

本节介绍如何自定义用户权限，这里使用digest进行演示，因为平时工作中digest是用得最多的。我们都知道digest是使用密文进行设置的，所以我们需要自定义一个工具类来加密明文密码得到密文密码。代码如下：

package org.zero01.zk.util;import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;public class AclUtils {    public static String getDigestUserPwd(String id) throws Exception {        // 加密明文密码        return DigestAuthenticationProvider.generateDigest(id);    }}

然后修改 ZKNodeAcl 类的代码如下：

package org.zero01.zk.demo;import org.apache.zookeeper.*;import org.apache.zookeeper.data.ACL;import org.apache.zookeeper.data.Id;import org.apache.zookeeper.data.Stat;import org.zero01.zk.util.AclUtils;import java.util.ArrayList;import java.util.List;/** * @program: zookeeper-connection * @description: zookeeper 操作节点acl权限演示 * @author: 01 * @create: 2018-04-27 09:20 **/public class ZKNodeAcl implements Watcher {    // 集群模式则是多个ip    private static final String zkServerIps = "192.168.190.128:2181,192.168.190.129:2181,192.168.190.130:2181";    // 超时时间    private static final Integer timeout = 5000;    private static ZooKeeper zooKeeper;    private static Stat stat;    public void process(WatchedEvent watchedEvent) {    }    public static void main(String[] args) throws Exception {        zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());        // 自定义用户认证访问        List<ACL> acls = new ArrayList<ACL>();  // 权限列表        // 第一个参数是权限scheme，第二个参数是加密后的用户名和密码        Id user1 = new Id("digest", AclUtils.getDigestUserPwd("user1:123456a"));        Id user2 = new Id("digest", AclUtils.getDigestUserPwd("user2:123456b"));        acls.add(new ACL(ZooDefs.Perms.ALL, user1));  // 给予所有权限        acls.add(new ACL(ZooDefs.Perms.READ, user2));  // 只给予读权限        acls.add(new ACL(ZooDefs.Perms.DELETE | ZooDefs.Perms.CREATE, user2));  // 多个权限的给予方式，使用 | 位运算符        // 使用自定义的权限列表去创建节点        String result = zooKeeper.create("/testDigestNode", "test data".getBytes(), acls, CreateMode.PERSISTENT);        if (result != null) {            System.out.println("创建节点：\t" + result + "\t成功...");        }        Thread.sleep(1000);        // 获取该节点的acl权限信息        List<ACL> aclList = zooKeeper.getACL("/testDigestNode", stat);        for (ACL acl : aclList) {            System.out.println("\n-----------------------\n");            System.out.println("权限scheme id：" + acl.getId());            System.out.println("权限位：" + acl.getPerms());        }        Thread.sleep(1000);    }}

控制台输出信息如下：

创建节点：   /testDigestNode 成功...-----------------------权限scheme id：'digest,'user1:TQYTqd46qVVbWpOd02tLO5qb+JM=权限位：31-----------------------权限scheme id：'digest,'user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=权限位：1-----------------------权限scheme id：'digest,'user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=权限位：12

我们可以到服务器上查看该节点的ACL信息是否一致：

[zk: localhost:2181(CONNECTED) 15] getAcl /testDigestNode'digest,'user1:TQYTqd46qVVbWpOd02tLO5qb+JM=: cdrwa'digest,'user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=: r'digest,'user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=: cd[zk: localhost:2181(CONNECTED) 16]

如果我们需要操作一个设置了digest权限的节点，那么就需要登录用于相应权限的用户才行。在代码上也是如此，我们需要先通过addAuthInfo添加用户信息（账户:明文密码）才能够操作其拥有权限的节点。以下示例演示如何使用addAuthInfo添加用户信息并操作相应的节点，修改main方法的代码如下：

...public class ZKNodeAcl implements Watcher {    ...    public static void main(String[] args) throws Exception {        zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());        // 注册过的用户必须通过addAuthInfo才能操作节点，参考命令行 addauth        zooKeeper.addAuthInfo("digest", "user1:123456a".getBytes());        String result = zooKeeper.create("/testDigestNode/testOneNode", "test data".getBytes(), ZooDefs.Ids.CREATOR_ALL_ACL, CreateMode.PERSISTENT);        if (result != null) {            System.out.println("创建子节点：\t" + result + "\t成功...");        }        // 获取节点数据        byte[] data = zooKeeper.getData("/testDigestNode/testOneNode", false, stat);        System.out.println(new String(data));        // 设置节点数据        zooKeeper.setData("/testDigestNode/testOneNode", "new test data".getBytes(), 0);        Thread.sleep(1000);    }}

控制台输出信息如下：

创建子节点：  /testDigestNode/testOneNode 成功...test data

ip权限

以上我们简单演示了默认匿名权限以及自定义的digest权限，下面简单演示下自定义ip权限的设置方式。修改 ZKNodeAcl 类中的main方法代码如下：

...public class ZKNodeAcl implements Watcher {    ...    public static void main(String[] args) throws Exception {        zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());        // ip方式的acl        List<ACL> aclsIP = new ArrayList<ACL>();  // 权限列表        // 第一个参数是权限scheme，第二个参数是ip地址        Id ipId1 = new Id("ip", "192.168.190.1");        aclsIP.add(new ACL(ZooDefs.Perms.ALL, ipId1));  // 给予所有权限        // 使用自定义的权限列表去创建节点        String result = zooKeeper.create("/testIpNode", "this is test ip node data".getBytes(), aclsIP, CreateMode.PERSISTENT);        if (result != null) {            System.out.println("创建节点：\t" + result + "\t成功...");        }        Thread.sleep(1000);        // 获取该节点的acl权限信息        List<ACL> aclList = zooKeeper.getACL(result, stat);        for (ACL acl : aclList) {            System.out.println("\n-----------------------\n");            System.out.println("权限scheme id：" + acl.getId());            System.out.println("权限位：" + acl.getPerms());        }        Thread.sleep(1000);        // 获取节点数据，验证ip是否有权限        byte[] data = zooKeeper.getData("/testIpNode", false, stat);        System.out.println("\n-----------------------\n");        System.out.println(result + " 节点当前的数据为：" + new String(data));    }}

控制台输出信息如下：

创建节点：   /testIpNode 成功...-----------------------权限scheme id：'ip,'192.168.190.1权限位：31-----------------------/testIpNode 节点当前的数据为：this is test ip node data