千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

Dubbo+Zookeeper安全认证方法是什么

发表于:2025-01-24 作者:千家信息网编辑
千家信息网最后更新 2025年01月24日,这篇文章主要介绍"Dubbo+Zookeeper安全认证方法是什么",在日常操作中,相信很多人在Dubbo+Zookeeper安全认证方法是什么问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作
千家信息网最后更新 2025年01月24日Dubbo+Zookeeper安全认证方法是什么

这篇文章主要介绍"Dubbo+Zookeeper安全认证方法是什么",在日常操作中,相信很多人在Dubbo+Zookeeper安全认证方法是什么问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答"Dubbo+Zookeeper安全认证方法是什么"的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

问题

Zookeeper+dubbo,如何设置安全认证?不想让其他服务连接Zookeeper,因为这个Zookeeper服务器在外网。

查询官方文档:

Zookeeper 是 Apacahe Hadoop 的子项目,是一个树型的目录服务,支持变更推送,适合作为 Dubbo 服务的注册中心,工业强度较高,可用于生产环境,并推荐使用。

流程说明:

  • 服务提供者启动时: 向 /dubbo/com.foo.BarService/providers 目录下写入自己的 URL 地址

  • 服务消费者启动时: 订阅 /dubbo/com.foo.BarService/providers 目录下的提供者 URL 地址。并向 /dubbo/com.foo.BarService/consumers 目录下写入自己的 URL 地址

  • 监控中心启动时: 订阅 /dubbo/com.foo.BarService 目录下的所有提供者和消费者 URL 地址

支持以下功能:

  • 当提供者出现断电等异常停机时,注册中心能自动删除提供者信息

  • 当注册中心重启时,能自动恢复注册数据,以及订阅请求

  • 当会话过期时,能自动恢复注册数据,以及订阅请求

  • 当设置 < dubbo:registry check="false">

  • 可通过 < dubbo:registry username="admin" password="1234" /> 设置 zookeeper 登录信息

  • 可通过 < dubbo:registry group="dubbo" /> 设置 zookeeper 的根节点,不设置将使用无根树

  • 支持 号通配符 < dubbo:reference group="" version="*" />,可订阅服务的所有分组和所有版本的提供者

官网文档第五条,明确说明了可以通过username和 password字段设置zookeeper 登录信息。

但是,如果在Zookeeper上通过digest方式设置ACL,然后在dubbo registry上配置相应的用户、密码,服务就注册不到Zookeeper上了,会报KeeperErrorCode = NoAuth错误。

但是查阅ZookeeperRegistry相关源码并没有发现相关认证的地方,搜遍全网很少有问类似的问题,这个问题似乎并没有多少人关注。

Zookeeper中的ACL

概述

传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。Zookeeper的ACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为

scheme:id:permissions

下面从这三个方面分别来介绍:

scheme: scheme对应于采用哪种方案来进行权限管理,zookeeper实现了一个pluggable的ACL方案,可以通过扩展scheme,来扩展ACL的机制。zookeeper-3.4.4缺省支持下面几种scheme:

  • world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的

  • auth: 它不需要id, 只要是通过authentication的user都有权限(zookeeper支持通过kerberos来进行authencation, 也支持username/password形式的authentication)

  • digest: 它对应的id为username:BASE64(SHA1(password)),它需要先通过username:password形式的authentication

  • ip: 它对应的id为客户机的IP地址,设置的时候可以设置一个ip段,比如ip:192.168.1.0/16, 表示匹配前16个bit的IP段

  • super: 在这种scheme情况下,对应的id拥有超级权限,可以做任何事情(cdrwa)

permission: zookeeper目前支持下面一些权限:

  • CREATE(c): 创建权限,可以在在当前node下创建child node

  • DELETE(d): 删除权限,可以删除当前的node

  • READ(r): 读权限,可以获取当前node的数据,可以list当前node所有的child nodes

  • WRITE(w): 写权限,可以向当前node写数据

  • ADMIN(a): 管理权限,可以设置当前node的permission

客户端管理

我们可以通过以下命令连接客户端进行操作:

./zkCli.sh
帮助
[zk: localhost:2181(CONNECTED) 2] helpZooKeeper -server host:port cmd args        connect host:port        get path [watch]        ls path [watch]        set path data [version]        rmr path        delquota [-n|-b] path        quit         printwatches on|off        create [-s] [-e] path data acl        stat path [watch]        close         ls2 path [watch]        history         listquota path        setAcl path acl        getAcl path        sync path        redo cmdno        addauth scheme auth        delete path [version]        setquota -n|-b val path
简单操作
[zk: localhost:2181(CONNECTED) 12] ls /[dubbo, test, zookeeper][zk: localhost:2181(CONNECTED) 13] create /itstyle  data ip:192.168.1.190:cdrwCreated /itstyle[zk: localhost:2181(CONNECTED) 14] getAcl /itstyle'ip,'192.168.1.190: cdrw

zkclient操作代码

import java.security.NoSuchAlgorithmException;import java.util.ArrayList;import java.util.List;import java.util.Map;import org.I0Itec.zkclient.ZkClient;import org.apache.zookeeper.ZooDefs;import org.apache.zookeeper.data.ACL;import org.apache.zookeeper.data.Id;import org.apache.zookeeper.data.Stat;import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;public class Acl {    private static final String zkAddress = "192.168.1.190:2181";      private static final String testNode = "/dubbo";      private static final String readAuth = "read-user:123456";      private static final String writeAuth = "write-user:123456";      private static final String deleteAuth = "delete-user:123456";      private static final String allAuth = "super-user:123456";      private static final String adminAuth = "admin-user:123456";      private static final String digest = "digest";         private static void initNode() throws NoSuchAlgorithmException {          ZkClient zkClient = new ZkClient(zkAddress);          System.out.println(DigestAuthenticationProvider.generateDigest(allAuth));        zkClient.addAuthInfo(digest, allAuth.getBytes());          if (zkClient.exists(testNode)) {              zkClient.delete(testNode);              System.out.println("节点删除成功!");          }             List acls = new ArrayList();          acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));        acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));          acls.add(new ACL(ZooDefs.Perms.READ, new Id(digest, DigestAuthenticationProvider.generateDigest(readAuth))));          acls.add(new ACL(ZooDefs.Perms.WRITE, new Id(digest, DigestAuthenticationProvider.generateDigest(writeAuth))));          acls.add(new ACL(ZooDefs.Perms.DELETE, new Id(digest, DigestAuthenticationProvider.generateDigest(deleteAuth))));          acls.add(new ACL(ZooDefs.Perms.ADMIN, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth))));          zkClient.createPersistent(testNode, testNode, acls);             System.out.println(zkClient.readData(testNode));          System.out.println("节点创建成功!");          zkClient.close();      }         private static void readTest() {          ZkClient zkClient = new ZkClient(zkAddress);          try {              System.out.println(zkClient.readData(testNode));//没有认证信息,读取会出错          } catch (Exception e) {              System.err.println(e.getMessage());          }             try {              zkClient.addAuthInfo(digest, adminAuth.getBytes());              System.out.println(zkClient.readData(testNode));//admin权限与read权限不匹配,读取也会出错          } catch (Exception e) {              System.err.println(e.getMessage());          }             try {              zkClient.addAuthInfo(digest, readAuth.getBytes());              System.out.println(zkClient.readData(testNode));//只有read权限的认证信息,才能正常读取          } catch (Exception e) {              System.err.println(e.getMessage());          }             zkClient.close();      }         private static void writeTest() {          ZkClient zkClient = new ZkClient(zkAddress);             try {              zkClient.writeData(testNode, "new-data");//没有认证信息,写入会失败          } catch (Exception e) {              System.err.println(e.getMessage());          }             try {              zkClient.addAuthInfo(digest, writeAuth.getBytes());              zkClient.writeData(testNode, "new-data");//加入认证信息后,写入正常          } catch (Exception e) {              System.err.println(e.getMessage());          }             try {              zkClient.addAuthInfo(digest, readAuth.getBytes());              System.out.println(zkClient.readData(testNode));//读取新值验证          } catch (Exception e) {              System.err.println(e.getMessage());          }             zkClient.close();      }         private static void deleteTest() {          ZkClient zkClient = new ZkClient(zkAddress);          zkClient.addAuthInfo(digest, deleteAuth.getBytes());          try {              System.out.println(zkClient.readData(testNode));              zkClient.delete(testNode);              System.out.println("节点删除成功!");          } catch (Exception e) {              System.err.println(e.getMessage());          }          zkClient.close();      }         private static void changeACLTest() {          ZkClient zkClient = new ZkClient(zkAddress);          //注:zkClient.setAcl方法查看源码可以发现,调用了readData、setAcl二个方法          //所以要修改节点的ACL属性,必须同时具备read、admin二种权限          zkClient.addAuthInfo(digest, adminAuth.getBytes());          zkClient.addAuthInfo(digest, readAuth.getBytes());          try {              List acls = new ArrayList();              acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth))));              zkClient.setAcl(testNode, acls);              Map.Entry, Stat> aclResult = zkClient.getAcl(testNode);              System.out.println(aclResult.getKey());          } catch (Exception e) {              System.err.println(e.getMessage());          }          zkClient.close();      }         public static void main(String[] args) throws Exception {             initNode();             System.out.println("---------------------");             readTest();             System.out.println("---------------------");             writeTest();             System.out.println("---------------------");             changeACLTest();             System.out.println("---------------------");             deleteTest();      }  }

到此,关于"Dubbo+Zookeeper安全认证方法是什么"的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注网站,小编会继续努力为大家带来更多实用的文章!

很赞哦!
权限 认证 服务 方法 信息 支持 提供者 目录 安全 安全认证 地址 节点 订阅 数据 问题 学习 成功 可以通过 客户 帮助 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 mysql内存表加载数据库 什么是服务器算法组态 gps登录服务器失败是什么情况 江苏hpe塔式服务器价格 航空航天软件开发工程师 服务器的网卡可以多涨吗 软件开发工程师考核方案 长春宝德网络技术电话 lag数据库 电竞小规模服务器主机参考 山西erp软件开发信息推荐 计算机网络技术排名第几 人民共和国网络安全法规定 删除数据库本地发布报错 觅心者服务器开门进度 数据库软件开发设计课程目的 scada系统 数据库 宁夏银川软件开发费用 网络安全知识进校园心得 数据库表允许为空 网络安全法考核题库 永兴学it软件开发待遇 当今社会网络安全现状 计算机局域网的硬件组成是服务器 网络安全漏洞管理意见 怎么快速删除大数据库 兰州公安局网络安全支队 软件开发的瀑布 php的服务器ip 福建软件开发面试题c语言

相关文章

0