zookeeper 权限概述

老样子，先上连接，第一个是淘宝综合业务平台的（前几个月还叫通用产品团队呢我记得）

http://rdc.taobao.com/team/jm/archives/947，其实基本上需要的他这里都有了，只是……太专业了，什么都说了唯独没说要怎么用。另一个是http://ec2-23-21-252-232.compute-

1.amazonaws.com/wordpress/?p=14，写的基本上也到位了，就是格式太差，看了半天看不到重点，所以今天再写一篇不完全自主知识产权的文章，稍微总结一下zookeeper中的权限管理。

其实综合业务（每次都想打“通用产品”）的文章写的已经很具体了不过可以稍微总结一下：

先来看下ACL的数据结构：
每一个znode节点上都可以设置一个访问控制列表，数据结构为List

ACL
+--perms int （allow What）
+--id Id
    +--scheme String （Who）
    +--id String      （How）
一个ACL对象就是一个Id和permission对，用来表示哪个/哪些范围的Id（Who）在通过了怎样的鉴权（How）

之后，就允许进行那些操作（What）：Who How What；permission（What）就是一个int表示的位码，每一

位代表一个对应操作的允许状态。类似unix的文件权限，不同的是共有5种操作：CREATE、READ、WRITE、

DELETE、ADMIN(对应更改ACL的权限)；Id由scheme（Who）和一个具体的字符串鉴权表达式id(How)构成，用

来描述哪个/哪些范围的Id应该怎样被鉴权。Scheme事实上是所使用的鉴权插件的标识。id的具体格式和语

义由scheme对应的鉴权实现决定。

1、在zookeeperC的API里面，设置ACL的时候需要传入一个类型为structACL的结构指针，structACL结构类

型的定义如下：

structACL_vector {

   int32_t count;

   struct ACL *data;

};

可以看出，该结构包含两个字段：一个用于记录结构中ACL结构个数的，另一个应该是一个指向ACL结构数组

的指针（数组长度就由count决定了），ACL结构的定义如下：

struct ACL {

   int32_tperms;

   struct Idid;

};

这个结构也是两个字段：perms的意思就是permission，记录着权限，权限值从0到31说白了就是五个bit位

分别记录五种权限，从高位到低位分别是admin、delete、create、write、read，简称adcwr，权限的具体

含义不解释。另一个字段又是一个结构Id，（要处理这么样一个结构果断提防内存泄露）该结构的定义如下

：

struct Id {

   char *scheme;

   char * id;

};

到这里算是清楚了，里面两个字段：scheme标志着权限管理策略，目前有四个：world、auth、digest和ip

，具体不解释。Id字段是真正用来做权限匹配的，匹配成功就算你拥有权限。

整个结构综合业务那边解释的很清楚了，就不在说了，只是把具体定义给大家看看，说白了，如果要设置权

限，就要弄这么样一个结构出来，把需要的字段都填好，还要填对（比如如果scheme是“digest”的话，id

必须具有“user：password”的格式）。

2、可以设置节点权限的API主要有两个，一个是create，一个是setACL，前者是在创建的时候就设置了，后

者是另行设置，直观上来讲，后者设置能不能成功那都是不一定的，因为起码你要有a权限的。其实，前者

也不好说了，经典反例请看综合业务博客，不解释。

3、每个节点在创建的时候肯定要设置一个权限的，最经常设置的就是ZOO_OPEN_ACL_UNSAFE，也就是说

adcwr= 31、scheme = “world”、 id = “anyone”。简单地说：随便哪个家伙，想干什么都行。根据综

合业务博客，在一个zookeeper session创建以后会为该session创建默认的Id，其中scheme= “ip”、 id

就是客户端的IP地址，在访问节点的时候，zookeeper内部会将这个权限信息附加在消息中发送，消息在处

理的时候会将消息中的Id信息与节点的ACL信息进行匹配，对于ZOO_OPEN_ACL_UNSAFE权限的节点，任何匹配

都会是成功的。

4、除了在session创建时默认构造的Id，客户还可以指定自己的权限，这需要用到zoo_add_auth函数，该函

数就是用来重新声明自己的Id。比如，如果客户端要访问一个节点时发现权限不够，如果它知道节点的权限

设置，它就可以重新设置自己的Id，并达到访问节点的目的。

5、当scheme为“digest”的时候，id字段必须具有“user：password”的格式，当我们调用zoo_add_auth

函数时，password代表的字符串会经过SHA1加密。而调用getACL函数时我们看到的password字段代表的字符

串已经是加密后的字符串了。因此“digest”策略下，在调用setACL时，password部分的字符串必须是密文

，而调用zoo_add_auth函数password部分的字符串必须是明文。

用最简单的话总结，创建节点的时候会分配权限和验证Id，用户可以通过zoo_add_auth函数设置自己的验证

Id，同时用户可以通过setACL重设权限和验证Id，如果验证成功用户将拥有该节点赋予该验证Id的权限。