這篇文章主要介紹“Dubbo+Zookeeper安全認(rèn)證方法是什么”，在日常操作中，相信很多人在Dubbo+Zookeeper安全認(rèn)證方法是什么問題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”Dubbo+Zookeeper安全認(rèn)證方法是什么”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

創(chuàng)新互聯(lián)長(zhǎng)期為上千客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為雷州企業(yè)提供專業(yè)的網(wǎng)站制作、做網(wǎng)站，雷州網(wǎng)站改版等技術(shù)服務(wù)。擁有十余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

問題

Zookeeper+dubbo，如何設(shè)置安全認(rèn)證？不想讓其他服務(wù)連接Zookeeper，因?yàn)檫@個(gè)Zookeeper服務(wù)器在外網(wǎng)。

查詢官方文檔：

Zookeeper 是 Apacahe Hadoop 的子項(xiàng)目，是一個(gè)樹型的目錄服務(wù)，支持變更推送，適合作為 Dubbo 服務(wù)的注冊(cè)中心，工業(yè)強(qiáng)度較高，可用于生產(chǎn)環(huán)境，并推薦使用。

流程說明：

• 服務(wù)提供者啟動(dòng)時(shí): 向 /dubbo/com.foo.BarService/providers 目錄下寫入自己的 URL 地址

• 服務(wù)消費(fèi)者啟動(dòng)時(shí): 訂閱 /dubbo/com.foo.BarService/providers 目錄下的提供者 URL 地址。并向 /dubbo/com.foo.BarService/consumers 目錄下寫入自己的 URL 地址

• 監(jiān)控中心啟動(dòng)時(shí): 訂閱 /dubbo/com.foo.BarService 目錄下的所有提供者和消費(fèi)者 URL 地址

支持以下功能：

• 當(dāng)提供者出現(xiàn)斷電等異常停機(jī)時(shí)，注冊(cè)中心能自動(dòng)刪除提供者信息

• 當(dāng)注冊(cè)中心重啟時(shí)，能自動(dòng)恢復(fù)注冊(cè)數(shù)據(jù)，以及訂閱請(qǐng)求

• 當(dāng)會(huì)話過期時(shí)，能自動(dòng)恢復(fù)注冊(cè)數(shù)據(jù)，以及訂閱請(qǐng)求

• 當(dāng)設(shè)置 < dubbo:registry check="false">

• 可通過 < dubbo:registry username="admin" password="1234" /> 設(shè)置 zookeeper 登錄信息

• 可通過 < dubbo:registry group="dubbo" /> 設(shè)置 zookeeper 的根節(jié)點(diǎn)，不設(shè)置將使用無根樹

• 支持 號(hào)通配符 < dubbo:reference group="" version="*" />，可訂閱服務(wù)的所有分組和所有版本的提供者

官網(wǎng)文檔第五條，明確說明了可以通過username和 password字段設(shè)置zookeeper 登錄信息。

但是，如果在Zookeeper上通過digest方式設(shè)置ACL，然后在dubbo registry上配置相應(yīng)的用戶、密碼，服務(wù)就注冊(cè)不到Zookeeper上了，會(huì)報(bào)KeeperErrorCode = NoAuth錯(cuò)誤。

但是查閱ZookeeperRegistry相關(guān)源碼并沒有發(fā)現(xiàn)相關(guān)認(rèn)證的地方，搜遍全網(wǎng)很少有問類似的問題，這個(gè)問題似乎并沒有多少人關(guān)注。

Zookeeper中的ACL

概述

傳統(tǒng)的文件系統(tǒng)中，ACL分為兩個(gè)維度，一個(gè)是屬組，一個(gè)是權(quán)限，子目錄/文件默認(rèn)繼承父目錄的ACL。而在Zookeeper中，node的ACL是沒有繼承關(guān)系的，是獨(dú)立控制的。Zookeeper的ACL，可以從三個(gè)維度來理解：一是scheme; 二是user; 三是permission，通常表示為

scheme:id:permissions

下面從這三個(gè)方面分別來介紹：

scheme: scheme對(duì)應(yīng)于采用哪種方案來進(jìn)行權(quán)限管理，zookeeper實(shí)現(xiàn)了一個(gè)pluggable的ACL方案，可以通過擴(kuò)展scheme，來擴(kuò)展ACL的機(jī)制。zookeeper-3.4.4缺省支持下面幾種scheme:

• world: 它下面只有一個(gè)id, 叫anyone, world:anyone代表任何人，zookeeper中對(duì)所有人有權(quán)限的結(jié)點(diǎn)就是屬于world:anyone的

• auth: 它不需要id, 只要是通過authentication的user都有權(quán)限（zookeeper支持通過kerberos來進(jìn)行authencation, 也支持username/password形式的authentication)

• digest: 它對(duì)應(yīng)的id為username:BASE64(SHA1(password))，它需要先通過username:password形式的authentication

• ip: 它對(duì)應(yīng)的id為客戶機(jī)的IP地址，設(shè)置的時(shí)候可以設(shè)置一個(gè)ip段，比如ip:192.168.1.0/16, 表示匹配前16個(gè)bit的IP段

• super: 在這種scheme情況下，對(duì)應(yīng)的id擁有超級(jí)權(quán)限，可以做任何事情(cdrwa)

permission: zookeeper目前支持下面一些權(quán)限：

• CREATE(c): 創(chuàng)建權(quán)限，可以在在當(dāng)前node下創(chuàng)建child node

• DELETE(d): 刪除權(quán)限，可以刪除當(dāng)前的node

• READ(r): 讀權(quán)限，可以獲取當(dāng)前node的數(shù)據(jù)，可以list當(dāng)前node所有的child nodes

• WRITE(w): 寫權(quán)限，可以向當(dāng)前node寫數(shù)據(jù)

• ADMIN(a): 管理權(quán)限，可以設(shè)置當(dāng)前node的permission

客戶端管理

我們可以通過以下命令連接客戶端進(jìn)行操作：

./zkCli.sh

幫助

[zk: localhost:2181(CONNECTED) 2] help
ZooKeeper -server host:port cmd args
        connect host:port
        get path [watch]
        ls path [watch]
        set path data [version]
        rmr path
        delquota [-n|-b] path
        quit 
        printwatches on|off
        create [-s] [-e] path data acl
        stat path [watch]
        close 
        ls2 path [watch]
        history 
        listquota path
        setAcl path acl
        getAcl path
        sync path
        redo cmdno
        addauth scheme auth
        delete path [version]
        setquota -n|-b val path

簡(jiǎn)單操作

[zk: localhost:2181(CONNECTED) 12] ls /
[dubbo, test, zookeeper]
[zk: localhost:2181(CONNECTED) 13] create /itstyle  data ip:192.168.1.190:cdrw
Created /itstyle
[zk: localhost:2181(CONNECTED) 14] getAcl /itstyle
'ip,'192.168.1.190
: cdrw

zkclient操作代碼

import java.security.NoSuchAlgorithmException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

import org.I0Itec.zkclient.ZkClient;
import org.apache.zookeeper.ZooDefs;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.data.Stat;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;

public class Acl {
    private static final String zkAddress = "192.168.1.190:2181";  
    private static final String testNode = "/dubbo";  
    private static final String readAuth = "read-user:123456";  
    private static final String writeAuth = "write-user:123456";  
    private static final String deleteAuth = "delete-user:123456";  
    private static final String allAuth = "super-user:123456";  
    private static final String adminAuth = "admin-user:123456";  
    private static final String digest = "digest";  
   
    private static void initNode() throws NoSuchAlgorithmException {  
        ZkClient zkClient = new ZkClient(zkAddress);  
        System.out.println(DigestAuthenticationProvider.generateDigest(allAuth));
        zkClient.addAuthInfo(digest, allAuth.getBytes());  
        if (zkClient.exists(testNode)) {  
            zkClient.delete(testNode);  
            System.out.println("節(jié)點(diǎn)刪除成功！");  
        }  
   
        List<ACL> acls = new ArrayList<ACL>();  
        acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));
        acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));  
        acls.add(new ACL(ZooDefs.Perms.READ, new Id(digest, DigestAuthenticationProvider.generateDigest(readAuth))));  
        acls.add(new ACL(ZooDefs.Perms.WRITE, new Id(digest, DigestAuthenticationProvider.generateDigest(writeAuth))));  
        acls.add(new ACL(ZooDefs.Perms.DELETE, new Id(digest, DigestAuthenticationProvider.generateDigest(deleteAuth))));  
        acls.add(new ACL(ZooDefs.Perms.ADMIN, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth))));  
        zkClient.createPersistent(testNode, testNode, acls);  
   
        System.out.println(zkClient.readData(testNode));  
        System.out.println("節(jié)點(diǎn)創(chuàng)建成功！");  
        zkClient.close();  
    }  
   
    private static void readTest() {  
        ZkClient zkClient = new ZkClient(zkAddress);  
        try {  
            System.out.println(zkClient.readData(testNode));//沒有認(rèn)證信息，讀取會(huì)出錯(cuò)  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        try {  
            zkClient.addAuthInfo(digest, adminAuth.getBytes());  
            System.out.println(zkClient.readData(testNode));//admin權(quán)限與read權(quán)限不匹配，讀取也會(huì)出錯(cuò)  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        try {  
            zkClient.addAuthInfo(digest, readAuth.getBytes());  
            System.out.println(zkClient.readData(testNode));//只有read權(quán)限的認(rèn)證信息，才能正常讀取  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        zkClient.close();  
    }  
   
    private static void writeTest() {  
        ZkClient zkClient = new ZkClient(zkAddress);  
   
        try {  
            zkClient.writeData(testNode, "new-data");//沒有認(rèn)證信息，寫入會(huì)失敗  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        try {  
            zkClient.addAuthInfo(digest, writeAuth.getBytes());  
            zkClient.writeData(testNode, "new-data");//加入認(rèn)證信息后,寫入正常  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        try {  
            zkClient.addAuthInfo(digest, readAuth.getBytes());  
            System.out.println(zkClient.readData(testNode));//讀取新值驗(yàn)證  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
   
        zkClient.close();  
    }  
   
    private static void deleteTest() {  
        ZkClient zkClient = new ZkClient(zkAddress);  
        zkClient.addAuthInfo(digest, deleteAuth.getBytes());  
        try {  
            System.out.println(zkClient.readData(testNode));  
            zkClient.delete(testNode);  
            System.out.println("節(jié)點(diǎn)刪除成功！");  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
        zkClient.close();  
    }  
   
    private static void changeACLTest() {  
        ZkClient zkClient = new ZkClient(zkAddress);  
        //注：zkClient.setAcl方法查看源碼可以發(fā)現(xiàn)，調(diào)用了readData、setAcl二個(gè)方法  
        //所以要修改節(jié)點(diǎn)的ACL屬性，必須同時(shí)具備read、admin二種權(quán)限  
        zkClient.addAuthInfo(digest, adminAuth.getBytes());  
        zkClient.addAuthInfo(digest, readAuth.getBytes());  
        try {  
            List<ACL> acls = new ArrayList<ACL>();  
            acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth))));  
            zkClient.setAcl(testNode, acls);  
            Map.Entry<List<ACL>, Stat> aclResult = zkClient.getAcl(testNode);  
            System.out.println(aclResult.getKey());  
        } catch (Exception e) {  
            System.err.println(e.getMessage());  
        }  
        zkClient.close();  
    }  
   
    public static void main(String[] args) throws Exception {  
   
        initNode();  
   
        System.out.println("---------------------");  
   
        readTest();  
   
        System.out.println("---------------------");  
   
        writeTest();  
   
        System.out.println("---------------------");  
   
        changeACLTest();  
   
        System.out.println("---------------------");  
   
        deleteTest();  
    }  
}

到此，關(guān)于“Dubbo+Zookeeper安全認(rèn)證方法是什么”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！

當(dāng)前文章：Dubbo+Zookeeper安全認(rèn)證方法是什么
當(dāng)前URL：http://aaarwkj.com/article30/jjjepo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、網(wǎng)站維護(hù)、、云服務(wù)器、搜索引擎優(yōu)化、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)