Dubbo+Zookeeper安全認證方法是什么

166次閱讀

共計 7354 個字符，預計需要花費 19 分鐘才能閱讀完成。

這篇文章主要介紹“Dubbo+Zookeeper 安全認證方法是什么”，在日常操作中，相信很多人在 Dubbo+Zookeeper 安全認證方法是什么問題上存在疑惑，丸趣 TV 小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Dubbo+Zookeeper 安全認證方法是什么”的疑惑有所幫助！接下來，請跟著丸趣 TV 小編一起來學習吧！

問題

Zookeeper+dubbo，如何設置安全認證？不想讓其他服務連接 Zookeeper，因為這個 Zookeeper 服務器在外網。

查詢官方文檔：

Zookeeper 是 Apacahe Hadoop 的子項目，是一個樹型的目錄服務，支持變更推送，適合作為 Dubbo 服務的注冊中心，工業強度較高，可用于生產環境，并推薦使用。

流程說明：

服務提供者啟動時: 向 /dubbo/com.foo.BarService/providers 目錄下寫入自己的 URL 地址

服務消費者啟動時: 訂閱 /dubbo/com.foo.BarService/providers 目錄下的提供者 URL 地址。并向 /dubbo/com.foo.BarService/consumers 目錄下寫入自己的 URL 地址

監控中心啟動時: 訂閱 /dubbo/com.foo.BarService 目錄下的所有提供者和消費者 URL 地址

支持以下功能：

當提供者出現斷電等異常停機時，注冊中心能自動刪除提供者信息

當注冊中心重啟時，能自動恢復注冊數據，以及訂閱請求

當會話過期時，能自動恢復注冊數據，以及訂閱請求

當設置 dubbo:registry check= false

可通過 dubbo:registry username= admin password= 1234 / 設置 zookeeper 登錄信息

可通過 dubbo:registry group= dubbo / 設置 zookeeper 的根節點，不設置將使用無根樹

支持號通配符 dubbo:reference group= version= * /，可訂閱服務的所有分組和所有版本的提供者

官網文檔第五條，明確說明了可以通過 username 和 password 字段設置 zookeeper 登錄信息。

但是，如果在 Zookeeper 上通過 digest 方式設置 ACL，然后在 dubbo registry 上配置相應的用戶、密碼，服務就注冊不到 Zookeeper 上了，會報 KeeperErrorCode = NoAuth 錯誤。

但是查閱 ZookeeperRegistry 相關源碼并沒有發現相關認證的地方，搜遍全網很少有問類似的問題，這個問題似乎并沒有多少人關注。

Zookeeper 中的 ACL 概述

傳統的文件系統中，ACL 分為兩個維度，一個是屬組，一個是權限，子目錄 / 文件默認繼承父目錄的 ACL。而在 Zookeeper 中，node 的 ACL 是沒有繼承關系的，是獨立控制的。Zookeeper 的 ACL，可以從三個維度來理解：一是 scheme; 二是 user; 三是 permission，通常表示為

scheme:id:permissions

下面從這三個方面分別來介紹：

scheme: scheme 對應于采用哪種方案來進行權限管理，zookeeper 實現了一個 pluggable 的 ACL 方案，可以通過擴展 scheme，來擴展 ACL 的機制。zookeeper-3.4.4 缺省支持下面幾種 scheme:

world: 它下面只有一個 id, 叫 anyone, world:anyone 代表任何人，zookeeper 中對所有人有權限的結點就是屬于 world:anyone 的

auth: 它不需要 id, 只要是通過 authentication 的 user 都有權限（zookeeper 支持通過 kerberos 來進行 authencation, 也支持 username/password 形式的 authentication)

digest: 它對應的 id 為 username:BASE64(SHA1(password))，它需要先通過 username:password 形式的 authentication

ip: 它對應的 id 為客戶機的 IP 地址，設置的時候可以設置一個 ip 段，比如 ip:192.168.1.0/16, 表示匹配前 16 個 bit 的 IP 段

super: 在這種 scheme 情況下，對應的 id 擁有超級權限，可以做任何事情 (cdrwa)

permission: zookeeper 目前支持下面一些權限：

CREATE(c): 創建權限，可以在在當前 node 下創建 child node

DELETE(d): 刪除權限，可以刪除當前的 node

READ(r): 讀權限，可以獲取當前 node 的數據，可以 list 當前 node 所有的 child nodes

WRITE(w): 寫權限，可以向當前 node 寫數據

ADMIN(a): 管理權限，可以設置當前 node 的 permission

客戶端管理

我們可以通過以下命令連接客戶端進行操作：

./zkCli.sh

幫助

[zk: localhost:2181(CONNECTED) 2] help
ZooKeeper -server host:port cmd args
 connect host:port
 get path [watch]
 ls path [watch]
 set path data [version]
 rmr path
 delquota [-n|-b] path
 quit 
 printwatches on|off
 create [-s] [-e] path data acl
 stat path [watch]
 close 
 ls2 path [watch]
 history 
 listquota path
 setAcl path acl
 getAcl path
 sync path
 redo cmdno
 addauth scheme auth
 delete path [version]
 setquota -n|-b val path

簡單操作

[zk: localhost:2181(CONNECTED) 12] ls /
[dubbo, test, zookeeper]
[zk: localhost:2181(CONNECTED) 13] create /itstyle data ip:192.168.1.190:cdrw
Created /itstyle
[zk: localhost:2181(CONNECTED) 14] getAcl /itstyle
 ip, 192.168.1.190
: cdrw

zkclient 操作代碼

import java.security.NoSuchAlgorithmException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import org.I0Itec.zkclient.ZkClient;
import org.apache.zookeeper.ZooDefs;
import org.apache.zookeeper.data.ACL;
import org.apache.zookeeper.data.Id;
import org.apache.zookeeper.data.Stat;
import org.apache.zookeeper.server.auth.DigestAuthenticationProvider;
public class Acl {
 private static final String zkAddress =  192.168.1.190:2181  
 private static final String testNode =  /dubbo  
 private static final String readAuth =  read-user:123456  
 private static final String writeAuth =  write-user:123456  
 private static final String deleteAuth =  delete-user:123456  
 private static final String allAuth =  super-user:123456  
 private static final String adminAuth =  admin-user:123456  
 private static final String digest =  digest  
 
 private static void initNode() throws NoSuchAlgorithmException { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 System.out.println(DigestAuthenticationProvider.generateDigest(allAuth));
 zkClient.addAuthInfo(digest, allAuth.getBytes()); 
 if (zkClient.exists(testNode)) { 
 zkClient.delete(testNode); 
 System.out.println( 節點刪除成功！ 
 } 
 
 List ACL  acls = new ArrayList ACL  
 acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth))));
 acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(allAuth)))); 
 acls.add(new ACL(ZooDefs.Perms.READ, new Id(digest, DigestAuthenticationProvider.generateDigest(readAuth)))); 
 acls.add(new ACL(ZooDefs.Perms.WRITE, new Id(digest, DigestAuthenticationProvider.generateDigest(writeAuth)))); 
 acls.add(new ACL(ZooDefs.Perms.DELETE, new Id(digest, DigestAuthenticationProvider.generateDigest(deleteAuth)))); 
 acls.add(new ACL(ZooDefs.Perms.ADMIN, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth)))); 
 zkClient.createPersistent(testNode, testNode, acls); 
 
 System.out.println(zkClient.readData(testNode)); 
 System.out.println( 節點創建成功！ 
 zkClient.close(); 
 } 
 
 private static void readTest() { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 try { 
 System.out.println(zkClient.readData(testNode));// 沒有認證信息，讀取會出錯  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 try { 
 zkClient.addAuthInfo(digest, adminAuth.getBytes()); 
 System.out.println(zkClient.readData(testNode));//admin 權限與 read 權限不匹配，讀取也會出錯  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 try { 
 zkClient.addAuthInfo(digest, readAuth.getBytes()); 
 System.out.println(zkClient.readData(testNode));// 只有 read 權限的認證信息，才能正常讀取  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 zkClient.close(); 
 } 
 
 private static void writeTest() { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 
 try { 
 zkClient.writeData(testNode,  new-data // 沒有認證信息，寫入會失敗  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 try { 
 zkClient.addAuthInfo(digest, writeAuth.getBytes()); 
 zkClient.writeData(testNode,  new-data // 加入認證信息后, 寫入正常  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 try { 
 zkClient.addAuthInfo(digest, readAuth.getBytes()); 
 System.out.println(zkClient.readData(testNode));// 讀取新值驗證  
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 
 zkClient.close(); 
 } 
 
 private static void deleteTest() { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 zkClient.addAuthInfo(digest, deleteAuth.getBytes()); 
 try { 
 System.out.println(zkClient.readData(testNode)); 
 zkClient.delete(testNode); 
 System.out.println( 節點刪除成功！ 
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 zkClient.close(); 
 } 
 
 private static void changeACLTest() { 
 ZkClient zkClient = new ZkClient(zkAddress); 
 // 注：zkClient.setAcl 方法查看源碼可以發現，調用了 readData、setAcl 二個方法  
 // 所以要修改節點的 ACL 屬性，必須同時具備 read、admin 二種權限  
 zkClient.addAuthInfo(digest, adminAuth.getBytes()); 
 zkClient.addAuthInfo(digest, readAuth.getBytes()); 
 try { 
 List ACL  acls = new ArrayList ACL  
 acls.add(new ACL(ZooDefs.Perms.ALL, new Id(digest, DigestAuthenticationProvider.generateDigest(adminAuth)))); 
 zkClient.setAcl(testNode, acls); 
 Map.Entry List ACL , Stat  aclResult = zkClient.getAcl(testNode); 
 System.out.println(aclResult.getKey()); 
 } catch (Exception e) { 
 System.err.println(e.getMessage()); 
 } 
 zkClient.close(); 
 } 
 
 public static void main(String[] args) throws Exception { 
 
 initNode(); 
 
 System.out.println( ---------------------  
 
 readTest(); 
 
 System.out.println( ---------------------  
 
 writeTest(); 
 
 System.out.println( ---------------------  
 
 changeACLTest(); 
 
 System.out.println( ---------------------  
 
 deleteTest(); 
 } 
}

到此，關于“Dubbo+Zookeeper 安全認證方法是什么”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注丸趣 TV 網站，丸趣 TV 小編會繼續努力為大家帶來更多實用的文章！

正文完