ZooKeeper 类似文件系统,Client 可以在上面创建节点、更新节点、删除节点等如何做到权限的控制?查阅文档,zk的ack(Access Control List)能够保证权限,但是调研完后发现它不是很好用。
ACL 权限控制,使用:schema:id :permission 来标识,主要涵盖 3 个方面:
权限模式(Schema):鉴权的策略
授权对象(ID)
权限(Permission)
其特性如下:
ZooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限
每个znode支持设置多种权限控制方案和多个权限
子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点
一、接下来,我们逐一讲解schema、id和permission三个知识点。
1、schema:
ZooKeeper内置了一些权限控制方案,可以用以下方案为每个节点设置权限:
方案
描述
world
只有一个用户:anyone,代表所有人(默认)
ip
使用IP地址认证
auth
使用已添加认证的用户认证
digest
使用“用户名:密码”方式认证
2、id:
授权对象ID是指,权限赋予的用户或者一个实体,例如:IP 地址或者机器。授权模式 schema 与 授权对象 ID 之间关系:
3、权限permission:
权限
ACL简写
CREATE
c
可以创建子节点
DELETE
d
可以删除子节点(仅下一级节点)
READ
r
可以读取节点数据及显示子节点列表
WRITE
w
可以设置节点数据
ADMIN
a
可以设置节点访问控制列表权限
二、权限相关命令:
命令
使用方式
getAcl
getAcl <path>
读取ACL权限
setAcl
setAcl <path> <acl>
设置ACL权限
addauth
addauth <scheme> <auth>
添加认证用户
三、实战:
1、World方案:
1)设置方式
<code>setAcl <path> world:anyone:<acl></code>
2)客户端实例:
2、IP方案:
<ip>:可以是具体IP也可以是IP/bit格式,即IP转换为二进制,匹配前bit位,如192.168.0.0/16匹配192.168.*.*
2)客户端实例
3、Auth方案
4、Digest方案
这里的密码是经过SHA1及BASE64处理的密文,在SHELL中可以通过以下命令计算:
先来计算一个密文
5、java客户单实例:
输出:
![ElasticJob‐Lite:Simple作业[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)