概述

ACL全稱為Access Control List（訪問控制列表），用於控制資源的訪問許可權。zk利用ACL策略控制節點的訪問許可權，如節點資料讀寫、節點建立、節點刪除、讀取子節點列表、設定節點許可權等。

在傳統的檔案系統中，ACL分為兩個維度，一個是屬組，一個是許可權，一個屬組包含多個許可權，一個檔案或目錄擁有某個組的許可權即擁有了組裡的所有許可權，檔案或子目錄預設會繼承自父目錄的ACL。而在Zookeeper中，znode的ACL是沒有繼承關係的，每個znode的許可權都是獨立控制的，只有客戶端滿足znode設定的許可權要求時，才能完成相應的操作。Zookeeper的ACL，分為三個維度：scheme、id、permission，通常表示為：scheme:id:permission

一、scheme

scheme即採取的授權策略，每種授權策略對應不同的許可權校驗方式。下面是zk常用的幾種scheme：

1> digest

語法：digest:username:BASE64(SHA1(password)):cdrwa
digest：是授權方式
username:BASE64(SHA1(password))：是id部分
cdrwa：許可權部份
使用者名稱+密碼授權訪問方式，也是常用的一種授權策略。id部份是使用者名稱和密碼做sha1加密再做BASE64加密後的組合，比如設定一個節點的使用者名稱為yangxin，密碼為123456，則表示方式為：yangxin:BASE64(SHA1(123456))

shell> java -Djava.ext.dirs=/usr/local/zookeeper/lib -cp /usr/local/zookeeper/zookeeper-3.4.9.jar org.apache.zookeeper.server.auth.DigestAuthenticationProvider yangxin:123456

yangxin:123456->yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=

本文的Zookeeper安裝在：/usr/local/zookeeper

下面是演示建立節點，並新增授權資訊操作節點的示例：

## 建立節點/node_05
shell> create /node_05 data
Created /node_05
## 設定許可權
shell> setAcl /node_05 digest:yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=:cdrwa
cZxid = 0x8e
ctime = Mon Nov 14 21:38:52 CST 2016
mZxid = 0x8e
mtime = Mon Nov 14 21:38:52 CST 2016
pZxid = 0x8e
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 3
numChildren = 0
## 獲取節點剛剛設定的許可權
shell> getAcl /node_05
'digest,'yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=
: cdrwa

## 沒有授權，建立節點失敗
shell> create /node_05/node_05_01 data
Authentication is not valid : /node_05/node_05_01

## 新增授權資訊
shell> addauth digest yangxin:123456

## 新增授權資訊後，就可以正常操作了
shell> create /node_05/node_05_01 data
Created /node_05/node_05_01

2> ip

基於客戶端IP地址校驗，限制只允許指定的客戶端能操作znode。
比如，設定某個節點只允許IP為192.168.1.100的客戶端能讀寫該寫節點的資料：ip:192.168.1.100:rw

shell> setAcl /node_08 ip:192.168.1.100:rw

3> world

語法：world:anyone:cdrwa
建立節點預設的scheme，所有人都可以訪問。如下所示：

shell> create /node_06 data
Created /node_06
shell> getAcl /node_06
'world,'anyone
: cdrwa

上面主要介紹了平時常用的三種scheme，除此之外，還有host、super、auth授權策略。

二、id

id是驗證模式，不同的scheme，id的值也不一樣。scheme為digest時，id的值為：username:BASE64(SHA1(password))，scheme為ip時，id的值為客戶端的ip地址。scheme為world時，id的值為anyone。

三、permission

在介紹scheme的時候，提到了acl的許可權，如：digest:username:BASE64(SHA1(password)):cdrwa中的cdrwa即是permission。
1> CREATE(r)：建立子節點的許可權
2> DELETE(d)：刪除節點的許可權
3> READ(r)：讀取節點資料的許可權
4> WRITE(w)：修改節點資料的許可權
5> ADMIN(a)：設定子節點許可權的許可權

## 建立/node_8節點，acl為cd（只能建立和刪除子節點）
shell> create /node_08 data digest:yangxin:ACFm5rWnnKn9K9RN/Oc8qEYGYDs=:cd
Created /node_08

## 沒有WRITE的許可權，修改/node_8節點的資料失敗
shell> set /node_8 update_data
Authentication is not valid : /node_08

## 沒有READ的許可權，讀取子節點資料及查詢子節點列表失敗
shell> get /node_8
Authentication is not valid : /node_08 
shell> ls /node_8
Authentication is not valid : /node_08

## 沒有ADMIN許可權，設定節點許可權失敗
shell> setAcl /node_08 ip:192.168.1.100:cdrwa
Authentication is not valid : /node_08

## 具備WRITE許可權，可以建立節點
shell> create /node_08/node_08_01 abc
Created /node_08/node_08_01

## 具備DELETE許可權，可以刪除子節點
shell> delete /node_08/node_08_01

注意：cd許可權用於控制子節點，rwa許可權用於控制節點本身