zk做为分布式架构中的重要中间件,通常会在上面以节点的方式存储一些关键信息,默认情况下,所有应用都可以读写任何节点,在复杂的应用中,这不太安全,ZK通过ACL机制来解决访问权限问题,详见官网文档:http://zookeeper.apache.org/doc/r3.4.6/zookeeperProgrammers.html#sc_ZooKeeperAccessControl
ZK的节点有5种操作权限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)
注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限
权限 | 描述 | setAcl中的简写 |
---|---|---|
write | 能够设置znode的值 | w |
read | 能够读取znode的值和列出它的children znode | r |
create | 能够创建children znode | c |
delete | 能够删除children znode | d |
admin | 能够执行setAcl即设置访问控制列表 | a |
all | 所有权限 | wrcda |
身份的认证有4种方式:
world:默认方式,相当于全世界都能访问
auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest:即用户名:密码这种方式认证,这也是业务系统中最常用的
ip:使用Ip地址认证
设置访问控制:
启动zookper后,使用zkCli进行操作
zkCli.cmd -server 127.0.0.1:2181
方式一:(推荐)
1)增加一个认证用户
addauth digest 用户名:密码明文
eg.
addauth digest user1:password1
2)设置权限
setAcl /path auth:用户名:密码明文:权限
eg.
setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置
getAcl /path
方式二:
setAcl /path digest:用户名:密码密文:权限
注:这里的加密规则是SHA1加密,然后base64编码。
public static void main(String[] args) throws NoSuchAlgorithmException {
System.out.println(generateDigest("admin:12345"));;
}
static public String generateDigest(String idPassword)
throws NoSuchAlgorithmException {
String parts[] = idPassword.split(":", 2);
byte digest[] = MessageDigest.getInstance("SHA1").digest(
idPassword.getBytes());
return parts[0] + ":" + org.apache.commons.codec.binary.Base64.encodeBase64String(digest);
}
zkclient是zookeeper客户端的一种实现,支持ACL权限传输并访问zookeeper节点。
maven依赖:
<dependency>
<groupId>com.101tec</groupId>
<artifactId>zkclient</artifactId>
<version>0.6</version>
</dependency>
zkclient增加ACL权限:
public ZkClient createACLClient(URL url) {
ZkClient client = new ZkClient(url.getBackupAddress());
/**
* 增加Zookeeper的ACL控制选项
*/
if (!StringUtils.isEmpty(url.getUsername()) && !StringUtils.isEmpty(url.getPassword())) {
StringBuffer auth = new StringBuffer(url.getUsername())
.append(":").append(url.getPassword());
client.addAuthInfo("digest", auth.toString().getBytes());
}
return client;
}