手记

使用Java API操作zookeeper的acl权限

默认匿名权限

ZooKeeper提供了如下几种验证模式(scheme):

  • digest:Client端由用户名和密码验证,譬如user:password,digest的密码生成方式是Sha1摘要的base64形式

  • auth:不使用任何id,代表任何已确认用户。

  • ip:Client端由IP地址验证,譬如172.2.0.0/24

  • world:固定用户为anyone,为所有Client端开放权限

  • super:在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)

注意的是,exists操作和getAcl操作并不受ACL许可控制,因此任何客户端可以查询节点的状态和节点的ACL。

节点的权限(perms)主要有以下几种:

  • Create 允许对子节点Create操作

  • Read 允许对本节点GetChildren和GetData操作

  • Write 允许对本节点SetData操作

  • Delete 允许对子节点Delete操作

  • Admin 允许对本节点setAcl操作

Znode ACL权限用一个int型的十进制数字perms表示,perms的5个二进制位分别表示setacl、delete、create、write、read。比如0x1f=adcwr,0x1=----r,0x15=a-c-r。

以下示例在创建节点的时候,赋予该节点的权限为默认匿名权限,权限位为adcwr,换成十进制数字表示就是3
1,十六进制则是0x1f。代码如下:

package org.zero01.zk.demo;import org.apache.zookeeper.*;import org.apache.zookeeper.data.ACL;import org.apache.zookeeper.data.Stat;import java.util.List;/** * @program: zookeeper-connection * @description: zookeeper 操作节点acl权限演示 * @author: 01 * @create: 2018-04-27 09:20 **/public class ZKNodeAcl implements Watcher {    // 集群模式则是多个ip    private static final String zkServerIps = "192.168.190.128:2181,192.168.190.129:2181,192.168.190.130:2181";    // 超时时间    private static final Integer timeout = 5000;    private static ZooKeeper zooKeeper;    private static Stat stat;    // Watch事件通知方法    public void process(WatchedEvent watchedEvent) {    }    public static void main(String[] args) throws Exception {        zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());        // 这样创建的节点是默认匿名权限的:ZooDefs.Ids.OPEN_ACL_UNSAFE        String result = zooKeeper.create("/testAclNode", "test data".getBytes(), ZooDefs.Ids.OPEN_ACL_UNSAFE, CreateMode.PERSISTENT);        Thread.sleep(1000);        // 获取该节点的acl权限信息        List<ACL> aclList = zooKeeper.getACL("/testAclNode", stat);        for (ACL acl : aclList) {            System.out.println("权限scheme id:" + acl.getId());            // 获取的是十进制的int型数字            System.out.println("权限位:" + acl.getPerms());        }        // 避免与服务端的连接马上断开        Thread.sleep(1000);    }}

控制台输出内容如下:

权限scheme id:'world,'anyone权限位:31

ZooDefs.Ids可以直接使用的权限如下:

ZooDefs.Ids.OPEN_ACL_UNSAFE   // 默认匿名权限,权限scheme id:'world,'anyone,权限位:31(adcwr)ZooDefs.Ids.READ_ACL_UNSAFE  // 只读权限,权限scheme id:'world,'anyone,权限位:1(r)

自定义用户权限

本节介绍如何自定义用户权限,这里使用digest进行演示,因为平时工作中digest是用得最多的。我们都知道digest是使用密文进行设置的,所以我们需要自定义一个工具类来加密明文密码得到密文密码。代码如下:

package org.zero01.zk.util;import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;public class AclUtils {    public static String getDigestUserPwd(String id) throws Exception {        // 加密明文密码        return DigestAuthenticationProvider.generateDigest(id);    }}

然后修改 ZKNodeAcl 类的代码如下:

package org.zero01.zk.demo;import org.apache.zookeeper.*;import org.apache.zookeeper.data.ACL;import org.apache.zookeeper.data.Id;import org.apache.zookeeper.data.Stat;import org.zero01.zk.util.AclUtils;import java.util.ArrayList;import java.util.List;/** * @program: zookeeper-connection * @description: zookeeper 操作节点acl权限演示 * @author: 01 * @create: 2018-04-27 09:20 **/public class ZKNodeAcl implements Watcher {    // 集群模式则是多个ip    private static final String zkServerIps = "192.168.190.128:2181,192.168.190.129:2181,192.168.190.130:2181";    // 超时时间    private static final Integer timeout = 5000;    private static ZooKeeper zooKeeper;    private static Stat stat;    public void process(WatchedEvent watchedEvent) {    }    public static void main(String[] args) throws Exception {        zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());        // 自定义用户认证访问        List<ACL> acls = new ArrayList<ACL>();  // 权限列表        // 第一个参数是权限scheme,第二个参数是加密后的用户名和密码        Id user1 = new Id("digest", AclUtils.getDigestUserPwd("user1:123456a"));        Id user2 = new Id("digest", AclUtils.getDigestUserPwd("user2:123456b"));        acls.add(new ACL(ZooDefs.Perms.ALL, user1));  // 给予所有权限        acls.add(new ACL(ZooDefs.Perms.READ, user2));  // 只给予读权限        acls.add(new ACL(ZooDefs.Perms.DELETE | ZooDefs.Perms.CREATE, user2));  // 多个权限的给予方式,使用 | 位运算符        // 使用自定义的权限列表去创建节点        String result = zooKeeper.create("/testDigestNode", "test data".getBytes(), acls, CreateMode.PERSISTENT);        if (result != null) {            System.out.println("创建节点:\t" + result + "\t成功...");        }        Thread.sleep(1000);        // 获取该节点的acl权限信息        List<ACL> aclList = zooKeeper.getACL("/testDigestNode", stat);        for (ACL acl : aclList) {            System.out.println("\n-----------------------\n");            System.out.println("权限scheme id:" + acl.getId());            System.out.println("权限位:" + acl.getPerms());        }        Thread.sleep(1000);    }}

控制台输出信息如下:

创建节点:   /testDigestNode 成功...-----------------------权限scheme id:'digest,'user1:TQYTqd46qVVbWpOd02tLO5qb+JM=权限位:31-----------------------权限scheme id:'digest,'user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=权限位:1-----------------------权限scheme id:'digest,'user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=权限位:12

我们可以到服务器上查看该节点的ACL信息是否一致:

[zk: localhost:2181(CONNECTED) 15] getAcl /testDigestNode'digest,'user1:TQYTqd46qVVbWpOd02tLO5qb+JM=: cdrwa'digest,'user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=: r'digest,'user2:CV4ED0rE6SxA3h/DN/WyScDMbCs=: cd[zk: localhost:2181(CONNECTED) 16]

如果我们需要操作一个设置了digest权限的节点,那么就需要登录用于相应权限的用户才行。在代码上也是如此,我们需要先通过addAuthInfo添加用户信息(账户:明文密码)才能够操作其拥有权限的节点。以下示例演示如何使用addAuthInfo添加用户信息并操作相应的节点,修改main方法的代码如下:

...public class ZKNodeAcl implements Watcher {    ...    public static void main(String[] args) throws Exception {        zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());        // 注册过的用户必须通过addAuthInfo才能操作节点,参考命令行 addauth        zooKeeper.addAuthInfo("digest", "user1:123456a".getBytes());        String result = zooKeeper.create("/testDigestNode/testOneNode", "test data".getBytes(), ZooDefs.Ids.CREATOR_ALL_ACL, CreateMode.PERSISTENT);        if (result != null) {            System.out.println("创建子节点:\t" + result + "\t成功...");        }        // 获取节点数据        byte[] data = zooKeeper.getData("/testDigestNode/testOneNode", false, stat);        System.out.println(new String(data));        // 设置节点数据        zooKeeper.setData("/testDigestNode/testOneNode", "new test data".getBytes(), 0);        Thread.sleep(1000);    }}

控制台输出信息如下:

创建子节点:  /testDigestNode/testOneNode 成功...test data

ip权限

以上我们简单演示了默认匿名权限以及自定义的digest权限,下面简单演示下自定义ip权限的设置方式。修改 ZKNodeAcl 类中的main方法代码如下:

...public class ZKNodeAcl implements Watcher {    ...    public static void main(String[] args) throws Exception {        zooKeeper = new ZooKeeper(zkServerIps, timeout, new ZKNodeAcl());        // ip方式的acl        List<ACL> aclsIP = new ArrayList<ACL>();  // 权限列表        // 第一个参数是权限scheme,第二个参数是ip地址        Id ipId1 = new Id("ip", "192.168.190.1");        aclsIP.add(new ACL(ZooDefs.Perms.ALL, ipId1));  // 给予所有权限        // 使用自定义的权限列表去创建节点        String result = zooKeeper.create("/testIpNode", "this is test ip node data".getBytes(), aclsIP, CreateMode.PERSISTENT);        if (result != null) {            System.out.println("创建节点:\t" + result + "\t成功...");        }        Thread.sleep(1000);        // 获取该节点的acl权限信息        List<ACL> aclList = zooKeeper.getACL(result, stat);        for (ACL acl : aclList) {            System.out.println("\n-----------------------\n");            System.out.println("权限scheme id:" + acl.getId());            System.out.println("权限位:" + acl.getPerms());        }        Thread.sleep(1000);        // 获取节点数据,验证ip是否有权限        byte[] data = zooKeeper.getData("/testIpNode", false, stat);        System.out.println("\n-----------------------\n");        System.out.println(result + " 节点当前的数据为:" + new String(data));    }}

控制台输出信息如下:

创建节点:   /testIpNode 成功...-----------------------权限scheme id:'ip,'192.168.190.1权限位:31-----------------------/testIpNode 节点当前的数据为:this is test ip node data

0人推荐
随时随地看视频
慕课网APP