概述
ACL全稱為Access Control List(訪問控制列表),用于控制資源的訪問權限。zk利用ACL策略控制節點的訪問權限,如節點數據讀寫、節點創建、節點刪除、讀取子節點列表、設置節點權限等。
在傳統的文件系統中,ACL分為兩個維度,一個是屬組,一個是權限,一個屬組包含多個權限,一個文件或目錄擁有某個組的權限即擁有了組里的所有權限,文件或子目錄默認會繼承自父目錄的ACL。而在Zookeeper中,znode的ACL是沒有繼承關系的,每個znode的權限都是獨立控制的,只有客戶端滿足znode設置的權限要求時,才能完成相應的操作。Zookeeper的ACL,分為三個維度:scheme、id、permission,通常表示為:scheme:id:permission,schema代表授權策略,id代表用戶,permission代表權限。下面從這三個維度分別來介紹。
一、scheme
scheme即采取的授權策略,每種授權策略對應不同的權限校驗方式。下面是zk常用的幾種scheme:
1> digest
語法:digest:username:BASE64(SHA1(password)):cdrwa
digest:是授權方式
username:BASE64(SHA1(password)):是id部分
cdrwa:權限部份
用戶名+密碼授權訪問方式,也是常用的一種授權策略。id部份是用戶名和密碼做sha1加密再做BASE64加密后的組合,比如設置一個節點的用戶名為yangxin,密碼為123456,則表示方式為:yangxin:BASE64(SHA1(123456)) ? yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=。密碼加密需要用到zk的一個工具類來生成,如下所示:
shell> java -Djava.ext.dirs=/usr/local/zookeeper/lib -cp /usr/local/zookeeper/zookeeper-3.4.9.jar org.apache.zookeeper.server.auth.DigestAuthenticationProvider yangxin:123456
yangxin:123456->yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=
下面是演示創建節點,并添加授權信息操作節點的示例:
?
## 創建節點/node_05
shell> create /node_05 data
Created /node_05
## 設置權限
shell> setAcl /node_05 digest:yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=:cdrwa
cZxid = 0x8e
ctime = Mon Nov 14 21:38:52 CST 2016
mZxid = 0x8e
mtime = Mon Nov 14 21:38:52 CST 2016
pZxid = 0x8e
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 3
numChildren = 0
## 獲取節點剛剛設置的權限
shell> getAcl /node_05
'digest,'yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=
: cdrwa
## 沒有授權,創建節點失敗
shell> create /node_05/node_05_01 data
Authentication is not valid : /node_05/node_05_01
## 添加授權信息
shell> addauth digest yangxin:123456
## 添加授權信息后,就可以正常操作了
shell> create /node_05/node_05_01 data
Created /node_05/node_05_01
2> ip
基于客戶端IP地址校驗,限制只允許指定的客戶端能操作znode。
比如,設置某個節點只允許IP為192.168.1.100
的客戶端能讀寫該寫節點的數據:ip:192.168.1.100:rw
shell> setAcl /node_08 ip:192.168.1.100:rw
3> world
語法:world:anyone:cdrwa
創建節點默認的scheme,所有人都可以訪問。如下所示:
shell> create /node_06 data
Created /node_06
shell> getAcl /node_06
'world,'anyone
: cdrwa
上面主要介紹了平時常用的三種scheme,除此之外,還有host、super、auth授權策略。
二、id
id是驗證模式,不同的scheme,id的值也不一樣。scheme為digest時,id的值為:username:BASE64(SHA1(password)),scheme為ip時,id的值為客戶端的ip地址。scheme為world時,id的值為anyone。
三、permission
在介紹scheme的時候,提到了acl的權限,如:digest:username:BASE64(SHA1(password)):cdrwa中的cdrwa即是permission。
1> CREATE(r):創建子節點的權限
2> DELETE(d):刪除節點的權限
3> READ(r):讀取節點數據的權限
4> WRITE(w):修改節點數據的權限
5> ADMIN(a):設置子節點權限的權限
## 創建/node_8節點,acl為cd(只能創建和刪除子節點)
shell> create /node_08 data digest:yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=:cd
Created /node_08
## 沒有WRITE的權限,修改/node_8節點的數據失敗
shell> set /node_8 update_data
Authentication is not valid : /node_08
## 沒有READ的權限,讀取子節點數據及查詢子節點列表失敗
shell> get /node_8
Authentication is not valid : /node_08?
shell> ls /node_8
Authentication is not valid : /node_08
## 沒有ADMIN權限,設置節點權限失敗
shell> setAcl /node_08 ip:192.168.1.100:cdrwa
Authentication is not valid : /node_08
## 具備WRITE權限,可以創建節點
shell> create /node_08/node_08_01 abc
Created /node_08/node_08_01
## 具備DELETE權限,可以刪除子節點
shell> delete /node_08/node_08_01