ZooKeeper权限管理机制

sdtf08

一、ZooKeeper权限管理机制介绍
　　本节将简要介绍ZooKeeper ACL 权限管理的几种方式。ZooKeeper 的权限管理亦即ACL 控制功能，通过Server、Client 两端协调完成：

1.1 Server端
　　一个ZooKeeper 的节点（znode）存储两部分内容：数据和状态，状态中包含ACL信息。创建一个znode 会产生一个ACL 列表。
　　(1)列表中每个ACL 包括：
　　①权限：perms
　　②验证模式：scheme
　　③具体内容：Ids
　　(2)ZooKeeper 提供了如下几种验证模式：
　　①Digest：Client端由用户名和密码验证，譬如user:pwd
　　②Host：Client端由主机名验证，譬如localhost
　　③Ip：Client端由IP地址验证，譬如172.2.0.0/24
　　④World：固定用户为anyone，为所有Client端开放权限
　　(3)权限许可集合如下，注意的是，exists操作和getAcl操作并不受ACL许可控制，因此任何客户端可以查询节点的状态和节点的ACL。
　　①Create：允许对子节点Create 操作
　　②Read：允许对本节点GetChildren 和GetData 操作
　　③Write ：允许对本节点SetData 操作
　　④Delete ：允许对子节点Delete 操作
　　⑤Admin ：允许对本节点setAcl 操作
　　(4)Znode ACL 权限用一个int 型数字perms 表示，perms 的5 个二进制位分别表示:
　　setacl、delete、create、write、read。

例如：
　　① adcwr=0x1f
　　② ----r=0x1
　　③ a-c-r=0x15

1.2 Client端
　　Client 通过调用addAuthInfo()函数设置当前会话的Author信息（针对Digest 验证模式）。Server 收到Client 发送的操作请求（除exists、getAcl 之外），需要进行ACL 验证：对该请求携带的Author 明文信息加密，并与目标节点的ACL 信息进行比较，如果匹配则具有相
　　应的权限，否则请求被Server 拒绝。

二、 ZooKeeper使用接口介绍（C API）
　　基于上一节的内容，本节介绍Digest 验证模式下，通过用户名、密码的方式进行节点权限管理需要的相关接口。

2.1 设置节点权限
　　Znode 存储ACL 的内容为密文，所以在setAcl 时必须将明文的用户名、密码(user：pwd)加密，结果为：
　　EYJny+H3eleOv6O/G6jy9vuSCq8=（28 位）,其加密方式为SHA1。使用方式如下：



//ACL参数设置
char szUserPwd[] = "user:pwd";
char szEncUserPwd[32];
char szDigestIds[64] = {0};
//EncryptSHA1()为SHA1加密函数
EncryptSHA1(szUserPwd, strlen((char*) szUserPwd), szEncUserPwd,sizeof(szEncUserPwd));
snprintf(szDigestIds,sizeof(szDigestIds),"user:%s", szEncUserPwd);
struct ACL stMyACL[]={{0x1f,{"digest",szDigestIds}},{0x01, {"world","anyone"}}};
struct ACL_vector vecMyACL = {2, stMyACL};
//设置ACL到Node
zoo_set_acl(zk, pszPath, -1, &vecMyACL);
2.2 用户验证方式
　　在Client 连接ZooKeeper Server 之后，用如下的接口设置session 的用户信息：zoo_add_auth(zk, "digest", "user:pwd", 8, 0, 0);
　　设置author 信息之后，该session 的每次操作都带有该author 标识。如果想用不同的author 信息操作，只需再调用一次zoo_add_auth ，Client 端以最后一次设置的信息为有效author 信息。

三、 ZooKeeper SuperDigest

3.1  Client 对znode 操作验证ACL 的方式
　　（1）遍历znode的所有ACL：
　　①对于每一个ACL，首先操作类型与权限（perms）匹配。
　　②只有匹配权限成功才进行session 的auth 信息与ACL 的用户名、密码匹配
　　（2）如果两次匹配都成功，则允许操作；否则，返回权限不够error（rc=-102）

3.2 特殊情况
　　如果znode ACL List 中任何一个ACL 都没有setAcl 权限，那么就算superDigest 也修改不了它的权限；再假如这个znode 还不开放delete 权限，那么它的所有子节点都将不会被删除。唯一的办法是通过手动删除snapshot 和log 的方法，将ZK 回滚到一个以前的状态，然后重启，当然这会影响到该znode 以外其它节点的正常应用。

3.3 superDigest 设置的步骤
　　（1）启动ZK 的时候加入参数
　　"-Dzookeeper .DigestAuthenticationProvider.superDigest=super:D/InIHSb7yEEbrWz8b9l71RjZJU="（中间没有空格）。
　　（2） 在客户端使用的时候， zoo_add_auth(zh, "digest", "super:test", 10, 0, 0); " super:test" 为
　　"super:D/InIHSb7yEEbrWz8b9l71RjZJU="的明文表示，加密算法同setAcl。