HBase源码分析之用户

HBase的用户机制和Hadoop的用户机制是一样的。但对刚接触的人来说，相当的隐蔽，启动HBase不用设置用户名、密码，连接HBase也不需要设置用户名、密码。但HBase（实质上是Hadoop）提供了默认的用户来执行操作。

1. 超级用户
   如果没有特意配置，那么HBase会选择启动HBase的系统用户作为超级用户。如果需要改变超级用户，可通过修改hbase-site.xml来配置，加入hbase.superuser。

<property>  <name>hbase.superuser</name>  <value>admin</value></property>

2. 默认用户
   默认用户也类似，在没有特意配置时，HBase会选择当前的系统用户作为HBase的用户，改变默认用户隐藏的比较深，我们从代码来看。

分析源码

在创建Connection时，会判断是否已经创建了用户，如果没有，会调用LoginContext的login()方法来创建。中间的调用就直接跳过了，想详细看的可以参照以下堆栈信息。

在login方法中，按顺序反射调用了LOGIN_METHOD（login()）和COMMIT_METHOD（commit()），中间啰嗦的代码就...跳过了，抓住重点看：

public void login() throws LoginException {    ...    try {        // 分别反射调用了login和commit方法        invokePriv(LOGIN_METHOD);        invokePriv(COMMIT_METHOD);        ...    } catch (LoginException le) {        ...    }}

invokePriv方法是invoke方法的带权限执行，主要看invoke方法。在invoke方法中，遍历module stack中的元素，对里面的每个元素反射执行login和commit方法。Module Stack中有两个元素，UnixLoginModule和UserGroupInformation$HadoopLoginModule。实际执行的顺序就是：

1. UnixLoginModule#login
2. UserGroupInformation$HadoopLoginModule#login
3. UnixLoginModule#commit
4. UserGroupInformation$HadoopLoginModule#commit

private void invoke(String methodName) throws LoginException {    for (int i = moduleIndex; i < moduleStack.length; i++, moduleIndex++) {        try {            int mIndex = 0;            Method[] methods = null;            // 获取login module的methods            if (moduleStack[i].module != null) {                methods = moduleStack[i].module.getClass().getMethods();            } else {                // 如果login module还没创建，就反射创建一个，再获取login module的methods                ...            }            // 遍历找到对应的方法            for (mIndex = 0; mIndex < methods.length; mIndex++) {                if (methods[mIndex].getName().equals(methodName)) {                    break;                }            }            // 主要就是这里，反射调用了方法名为方法参数methodName的无参方法            Object[] args = { };            boolean status = ((Boolean)methods[mIndex].invoke                            (moduleStack[i].module, args)).booleanValue();            if (status == true) {                // 成功后的处理                ...            } else {                // 失败了的处理                ...            }        } catch (Exception e) {            // 各种Exception处理            ...        }    }    // 收尾工作，处理Error，清空状态    ...}

1. UnixLoginModule的login方法从系统中获取到了用户的登录信息

public boolean login() throws LoginException {    ...    ss = new UnixSystem();    if (ss == null) {        ...    } else {        userPrincipal = new UnixPrincipal(ss.getUsername());        ...        return true;    }}

2. UserGroupInformation$HadoopLoginModule的login是空方法，只return了true

public boolean login() throws LoginException {    if(UserGroupInformation.LOG.isDebugEnabled()) {        UserGroupInformation.LOG.debug("hadoop login");    }    return true;}

3. UnixLoginModule的commit方法把获取到的登录信息写到了subject里

public boolean commit() throws LoginException {    if (succeeded == false) {        ...        return false;    } else {        if (subject.isReadOnly()) {            throw new LoginException                ("commit Failed: Subject is Readonly");        }        // 把用户名塞进subject        if (!subject.getPrincipals().contains(userPrincipal))            subject.getPrincipals().add(userPrincipal);        // 把其他参数塞进subject        ...        commitSucceeded = true;        return true;    }}

写完之后subject里是这样的，多了用户和组的信息。

4. UserGroupInformation$HadoopLoginModule的commit方法，分3种情况来获取用户。有KERBEROS，取KERBEROS的用户信息；有HADOOP_USER_NAME，取HADOOP_USER_NAME的用户信息；都没有，就取Unix/Linux系统的用户信息，就是第3步commit到subject中的用户信息。

public boolean commit() throws LoginException {    if(!this.subject.getPrincipals(User.class).isEmpty()) {        return true;    } else {        Principal user = null;        // 如果启用了KERBEROS        if(UserGroupInformation.isAuthenticationMethodEnabled(              UserGroupInformation.AuthenticationMethod.KERBEROS)) {            user = this.getCanonicalUser(KerberosPrincipal.class);        }        if(!UserGroupInformation.isSecurityEnabled() && user == null) {            // 从系统环境变量里找HADOOP_USER_NAME            String envUser = System.getenv("HADOOP_USER_NAME");            if(envUser == null) {                // 从Java变量里找HADOOP_USER_NAME                envUser = System.getProperty("HADOOP_USER_NAME");            }            user = envUser == null?null:new User(envUser);        }        // 实在找不到了，就用系统的用户信息        if(user == null) {            user = this.getCanonicalUser(UserGroupInformation.OS_PRINCIPAL_CLASS);            ...        }        // 把User实例塞进subject        if(user != null) {            this.subject.getPrincipals().add(new User(((Principal)user).getName()));            return true;        } else {            ...        }    }}

Commit执行完以后，User实例就创建完成了，可以看到User实例中只有name。

修改用户

知道了HBase是如何获取用户信息的，就可以相应的改变用户了。
根据UserGroupInformation$HadoopLoginModule的commit中获取用户的3种方法，就可分3种情况修改用户：

• KERBEROS
  改变KERBEROS用户（运维比较复杂，不在考虑范围）。

• 系统用户
  通过切换操作系统的用户来完成。

• HADOOP_USER_NAME
  通过设置System环境变量改变用户，需要重启进程才会生效。

  export HADOOP_USER_NAME=admin

  通过设置System Properties改变用户，需要在Connection创建之前设置，这里的System指的是JavaVM。

  System.getProperties().setProperty("HADOOP_USER_NAME", "admin");

举例来说，masa用户是没有权限的，admin用户是有权限的。使用默认用户masa访问集群，执行这段代码时，抛出了Exception，原因是没有权限。

Configuration configuration = HBaseConfiguration.create();HTable table = new HTable(configuration, TableName.valueOf("masa_test"));ResultScanner scanner = table.getScanner(new Scan());System.out.println("get scanner " + scanner);

Exception in thread "main" org.apache.hadoop.hbase.security.AccessDeniedException: org.apache.hadoop.hbase.security.AccessDeniedException: Insufficient permissions for user ‘masa',action: scannerOpen, tableName:liehutest, family:f.at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.authorizeAccess(RangerAuthorizationCoprocessor.java:525)at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:919)at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:854)at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$50.call(RegionCoprocessorHost.java:1284)at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$RegionOperation.call(RegionCoprocessorHost.java:1673)at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperation(RegionCoprocessorHost.java:1748)at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperationWithResult(RegionCoprocessorHost.java:1722)at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.preScannerOpen(RegionCoprocessorHost.java:1279)at org.apache.hadoop.hbase.regionserver.RSRpcServices.scan(RSRpcServices.java:2252)at org.apache.hadoop.hbase.protobuf.generated.ClientProtos$ClientService$2.callBlockingMethod(ClientProtos.java:32205)at org.apache.hadoop.hbase.ipc.RpcServer.call(RpcServer.java:2114)at org.apache.hadoop.hbase.ipc.CallRunner.run(CallRunner.java:101)at org.apache.hadoop.hbase.ipc.RpcExecutor.consumerLoop(RpcExecutor.java:130)at org.apache.hadoop.hbase.ipc.RpcExecutor$1.run(RpcExecutor.java:107)at java.lang.Thread.run(Thread.java:745)

在任务执行之前设置用户名，就可以执行成功了。

System.getProperties().setProperty("HADOOP_USER_NAME", "admin");Configuration configuration = HBaseConfiguration.create();HTable table = new HTable(configuration, TableName.valueOf("masa_test"));ResultScanner scanner = table.getScanner(new Scan());System.out.println("get scanner " + scanner);

get scanner org.apache.hadoop.hbase.client.ClientScanner@dd8ba08Process finished with exit code 0

-END-