Dubbo+Zookeeper安全认证方法是什么

69次阅读
没有评论

共计 7354 个字符,预计需要花费 19 分钟才能阅读完成。

这篇文章主要介绍“Dubbo+Zookeeper 安全认证方法是什么”,在日常操作中,相信很多人在 Dubbo+Zookeeper 安全认证方法是什么问题上存在疑惑,丸趣 TV 小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”Dubbo+Zookeeper 安全认证方法是什么”的疑惑有所帮助!接下来,请跟着丸趣 TV 小编一起来学习吧!

问题

Zookeeper+dubbo,如何设置安全认证?不想让其他服务连接 Zookeeper,因为这个 Zookeeper 服务器在外网。

查询官方文档:

Zookeeper 是 Apacahe Hadoop 的子项目,是一个树型的目录服务,支持变更推送,适合作为 Dubbo 服务的注册中心,工业强度较高,可用于生产环境,并推荐使用。

流程说明:

服务提供者启动时: 向 /dubbo/com.foo.BarService/providers 目录下写入自己的 URL 地址

服务消费者启动时: 订阅 /dubbo/com.foo.BarService/providers 目录下的提供者 URL 地址。并向 /dubbo/com.foo.BarService/consumers 目录下写入自己的 URL 地址

监控中心启动时: 订阅 /dubbo/com.foo.BarService 目录下的所有提供者和消费者 URL 地址

支持以下功能:

当提供者出现断电等异常停机时,注册中心能自动删除提供者信息

当注册中心重启时,能自动恢复注册数据,以及订阅请求

当会话过期时,能自动恢复注册数据,以及订阅请求

当设置 dubbo:registry check= false

可通过 dubbo:registry username= admin password= 1234 / 设置 zookeeper 登录信息

可通过 dubbo:registry group= dubbo / 设置 zookeeper 的根节点,不设置将使用无根树

支持   号通配符 dubbo:reference group= version= * /,可订阅服务的所有分组和所有版本的提供者

官网文档第五条,明确说明了可以通过 username 和 password 字段设置 zookeeper 登录信息。

但是,如果在 Zookeeper 上通过 digest 方式设置 ACL,然后在 dubbo registry 上配置相应的用户、密码,服务就注册不到 Zookeeper 上了,会报 KeeperErrorCode = NoAuth 错误。

但是查阅 ZookeeperRegistry 相关源码并没有发现相关认证的地方,搜遍全网很少有问类似的问题,这个问题似乎并没有多少人关注。

Zookeeper 中的 ACL 概述

传统的文件系统中,ACL 分为两个维度,一个是属组,一个是权限,子目录 / 文件默认继承父目录的 ACL。而在 Zookeeper 中,node 的 ACL 是没有继承关系的,是独立控制的。Zookeeper 的 ACL,可以从三个维度来理解:一是 scheme; 二是 user; 三是 permission,通常表示为

scheme:id:permissions

下面从这三个方面分别来介绍:

scheme: scheme 对应于采用哪种方案来进行权限管理,zookeeper 实现了一个 pluggable 的 ACL 方案,可以通过扩展 scheme,来扩展 ACL 的机制。zookeeper-3.4.4 缺省支持下面几种 scheme:

world: 它下面只有一个 id, 叫 anyone, world:anyone 代表任何人,zookeeper 中对所有人有权限的结点就是属于 world:anyone 的

auth: 它不需要 id, 只要是通过 authentication 的 user 都有权限(zookeeper 支持通过 kerberos 来进行 authencation, 也支持 username/password 形式的 authentication)

digest: 它对应的 id 为 username:BASE64(SHA1(password)),它需要先通过 username:password 形式的 authentication

ip: 它对应的 id 为客户机的 IP 地址,设置的时候可以设置一个 ip 段,比如 ip:192.168.1.0/16, 表示匹配前 16 个 bit 的 IP 段

super: 在这种 scheme 情况下,对应的 id 拥有超级权限,可以做任何事情 (cdrwa)

permission: zookeeper 目前支持下面一些权限:

CREATE(c): 创建权限,可以在在当前 node 下创建 child node

DELETE(d): 删除权限,可以删除当前的 node

READ(r): 读权限,可以获取当前 node 的数据,可以 list 当前 node 所有的 child nodes

WRITE(w): 写权限,可以向当前 node 写数据

ADMIN(a): 管理权限,可以设置当前 node 的 permission

客户端管理

我们可以通过以下命令连接客户端进行操作:

./zkCli.sh

帮助

[zk: localhost:2181(CONNECTED) 2] help
ZooKeeper -server host:port cmd args
 connect host:port
 get path [watch]
 ls path [watch]
 set path data [version]
 rmr path
 delquota [-n|-b] path
 quit 
 printwatches on|off
 create [-s] [-e] path data acl
 stat path [watch]
 close 
 ls2 path [watch]
 history 
 listquota path
 setAcl path acl
 getAcl path
 sync path
 redo cmdno
 addauth scheme auth
 delete path [version]
 setquota -n|-b val path

简单操作

[zk: localhost:2181(CONNECTED) 12] ls /
[dubbo, test, zookeeper]
[zk: localhost:2181(CONNECTED) 13] create /itstyle data ip:192.168.1.190:cdrw
Created /itstyle
[zk: localhost:2181(CONNECTED) 14] getAcl /itstyle
 ip, 192.168.1.190
: cdrw

zkclient 操作代码

import java.security.NoSuchAlgorithmException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import org.I0Itec.zkclient.ZkClient;
import org.apache.zookeeper.ZooDefs;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.data.Stat;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;
public class Acl {
 private static final String zkAddress =  192.168.1.190:2181  
 private static final String testNode =  /dubbo  
 private static final String readAuth =  read-user:123456  
 private static final String writeAuth =  write-user:123456  
 private static final String deleteAuth =  delete-user:123456  
 private static final String allAuth =  super-user:123456  
 private static final String adminAuth =  admin-user:123456  
 private static final String digest =  digest  
 
 private static void initNode() throws NoSuchAlgorithmException { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 System.out.println(DigestAuthenticationProvider.generateDigest(allAuth));
 zkClient.addAuthInfo(digest, allAuth.getBytes()); 
 if (zkClient.exists(testNode)) { 
 zkClient.delete(testNode); 
 System.out.println( 节点删除成功! 
 } 
 
 List ACL  acls = new ArrayList ACL  
 acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));
 acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth)))); 
 acls.add(new ACL(ZooDefs.Perms.READ, new Id(digest, DigestAuthenticationProvider.generateDigest(readAuth)))); 
 acls.add(new ACL(ZooDefs.Perms.WRITE, new Id(digest, DigestAuthenticationProvider.generateDigest(writeAuth)))); 
 acls.add(new ACL(ZooDefs.Perms.DELETE, new Id(digest, DigestAuthenticationProvider.generateDigest(deleteAuth)))); 
 acls.add(new ACL(ZooDefs.Perms.ADMIN, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth)))); 
 zkClient.createPersistent(testNode, testNode, acls); 
 
 System.out.println(zkClient.readData(testNode)); 
 System.out.println( 节点创建成功! 
 zkClient.close(); 
 } 
 
 private static void readTest() { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 try { 
 System.out.println(zkClient.readData(testNode));// 没有认证信息,读取会出错  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 try { 
 zkClient.addAuthInfo(digest, adminAuth.getBytes()); 
 System.out.println(zkClient.readData(testNode));//admin 权限与 read 权限不匹配,读取也会出错  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 try { 
 zkClient.addAuthInfo(digest, readAuth.getBytes()); 
 System.out.println(zkClient.readData(testNode));// 只有 read 权限的认证信息,才能正常读取  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 zkClient.close(); 
 } 
 
 private static void writeTest() { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 
 try { 
 zkClient.writeData(testNode,  new-data // 没有认证信息,写入会失败  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 try { 
 zkClient.addAuthInfo(digest, writeAuth.getBytes()); 
 zkClient.writeData(testNode,  new-data // 加入认证信息后, 写入正常  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 try { 
 zkClient.addAuthInfo(digest, readAuth.getBytes()); 
 System.out.println(zkClient.readData(testNode));// 读取新值验证  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 zkClient.close(); 
 } 
 
 private static void deleteTest() { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 zkClient.addAuthInfo(digest, deleteAuth.getBytes()); 
 try { 
 System.out.println(zkClient.readData(testNode)); 
 zkClient.delete(testNode); 
 System.out.println( 节点删除成功! 
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 zkClient.close(); 
 } 
 
 private static void changeACLTest() { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 // 注:zkClient.setAcl 方法查看源码可以发现,调用了 readData、setAcl 二个方法  
 // 所以要修改节点的 ACL 属性,必须同时具备 read、admin 二种权限  
 zkClient.addAuthInfo(digest, adminAuth.getBytes()); 
 zkClient.addAuthInfo(digest, readAuth.getBytes()); 
 try { 
 List ACL  acls = new ArrayList ACL  
 acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth)))); 
 zkClient.setAcl(testNode, acls); 
 Map.Entry List ACL , Stat  aclResult = zkClient.getAcl(testNode); 
 System.out.println(aclResult.getKey()); 
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 zkClient.close(); 
 } 
 
 public static void main(String[] args) throws Exception { 
 
 initNode(); 
 
 System.out.println( ---------------------  
 
 readTest(); 
 
 System.out.println( ---------------------  
 
 writeTest(); 
 
 System.out.println( ---------------------  
 
 changeACLTest(); 
 
 System.out.println( ---------------------  
 
 deleteTest(); 
 } 
}

到此,关于“Dubbo+Zookeeper 安全认证方法是什么”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注丸趣 TV 网站,丸趣 TV 小编会继续努力为大家带来更多实用的文章!

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-16发表,共计7354字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)