本发明专利技术属于分布式存储领域,具体涉及一种分布式存储鉴权方法
【技术实现步骤摘要】
一种分布式存储鉴权方法、系统、设备及介质
[0001]本专利技术属于分布式存储领域,具体涉及一种分布式存储鉴权方法
、
系统
、
设备及介质
。
技术介绍
[0002]随着大数据技术的日益普及,多元复杂
、
规模庞大的数据资源润含着巨大的客户价值
。
由于资源利用率
、
原生
HDFS(Hadoop Distributed File System
,一个易于扩展的分布式文件系统
)
固有缺陷等原因,企业
、
用户在大数据系统实施过程中通常采用存算分离架构,存储端选用高效
、
专业的大数据存储系统,在原生
HDFS
生态系统中通常使用
Ranger(
一个集中式安全管理框架
)
和
ACL(Access Control Lists
,访问控制列表
)
保护用户数据价值,
Ranger
和
ACL
相互配合进行联合鉴权处理
。
[0003]原生
HDFS
系统设计
Ranger
与
ACL
校验逻辑完全重合,而支持原生
HDFS
多融合协议的分布式大数据存储系统
(
分布式文件或者分布式对象存储
)
中,
Ranger
与
ACL
权限校验存在设计分层,无法很好实现
Ranger
与分布式存储的
ACL
的联合鉴权,鉴权结果不符合预期,例如
Ranger
校验通过,而分布式存储的
ACL
校验失败,最终禁止用户访问,相互矛盾的鉴权结果不符合用户预期
。
[0004]因此,亟需一种有效方案来解决上述问题
。
技术实现思路
[0005]为解决上述问题,本专利技术提出一种分布式存储鉴权方法,包括:
[0006]响应于收到业务操作请求,判断是否对所述业务操作请求采用联合鉴权机制;
[0007]响应于所述判断为是,先通过第一鉴权组件对所述业务操作请求进行鉴权,并在所述第一鉴权组件的鉴权结果为通过后,将所述鉴权结果添加到处理所述业务操作请求的业务处理线程的描述信息中;
[0008]响应于所述线程的描述信息发生变更,调用第二鉴权组件对所述业务操作请求进行鉴权,并在所述第二鉴权组件鉴权通过后通过所述业务处理线程执行所述业务操作请求
。
[0009]在本专利技术的一些实施方式中,响应于收到业务操作请求,判断是否对所述业务操作请求采用联合鉴权机制的步骤包括:
[0010]判断是否开启第一鉴权组件,响应于开启第一鉴权组件而判断是否存在单一鉴权策略;
[0011]响应于存在单一鉴权策略,通过所述第一鉴权组件对所述业务操作请求进行鉴权
。
[0012]在本专利技术的一些实施方式中,方法还包括:
[0013]响应于所述第一鉴权组件对所述业务操作请求的鉴权结果为通过,通过所述业务处理线程执行所述业务操作请求;
[0014]响应于所述第一鉴权组件对所述业务操作请求的鉴权结果为失败,将鉴权失败结果反馈给所述业务操作请求的发起端
。
[0015]在本专利技术的一些实施方式中,响应于收到业务操作请求,判断是否对所述业务操作请求采用联合鉴权机制的步骤还包括:
[0016]响应于不存在单一鉴权策略,判断分布式存储系统上的联合鉴权标志是否为第一预定值;
[0017]响应于所述联合鉴权标志为第一预定值,则对所述业务操作请求采用联合鉴权机制;以及
[0018]响应于所述联合鉴权标志为第二预定值,则拒绝执行所述业务操作请求
。
[0019]在本专利技术的一些实施方式中,将所述鉴权结果添加到处理所述业务操作请求的业务处理线程的描述信息中的步骤包括:
[0020]将所述第一鉴权组件的鉴权结果添加到所述业务处理线程的线程名中;和
/
或
[0021]根据所述第一鉴权组件的鉴权结果将所述业务处理线程的执行权限修改为预定等级
。
[0022]在本专利技术的一些实施方式中,方法还包括:
[0023]判断发起所述业务操作请求的用户类型,响应于所述用户类型为超级用户,在执行所述业务操作请求的业务处理线程的描述信息中添加免鉴权标记,并通过所述业务处理线程执行所述业务操作请求
。
[0024]在本专利技术的一些实施方式中,方法还包括:
[0025]响应于接收到新的业务操作请求,确定执行所述新的业务操作请求的业务处理线程,并判断所述业务处理线程的描述信息中是否存在免鉴权标记;
[0026]响应于存在所述免鉴权标记,将所述免鉴权标记删除
。
[0027]本专利技术的另一方面还提出一种分布式存储鉴权系统,包括:
[0028]联合鉴权判断模块,所述联合鉴权判断模块配置用于响应于收到业务操作请求,判断是否对所述业务操作请求采用联合鉴权机制;
[0029]第一鉴权模块,所述第一鉴权模块配置用于响应于所述判断为是,先通过第一鉴权组件对所述业务操作请求进行鉴权,并在所述第一鉴权组件的鉴权结果为通过后,将所述鉴权结果添加到处理所述业务操作请求的业务处理线程的描述信息中;
[0030]第二鉴权模块,所述第二鉴权模块配置用于响应于所述线程的描述信息发生变更,调用第二鉴权组件对所述业务操作请求进行鉴权,并在所述第二鉴权组件鉴权通过后通过所述业务处理线程执行所述业务操作请求
。
[0031]本专利技术的又一方面还提出一种计算机设备,包括:
[0032]至少一个处理器;以及
[0033]存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现上述实施方式中任意一项所述方法的步骤
。
[0034]本专利技术的再一方面还提出一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述实施方式中任意一项所述方法的步骤
。
[0035]通过本专利技术提出的一种分布式存储鉴权方法,无需改变原生的鉴权机制,只将其
中一个鉴权组件的鉴权结果通过修改业务处理线程的描述信息的方式传递给另外一个鉴权组件作为触发另一个鉴权组件的条件
。
可有效解决在采用两种鉴权方式的情况下的鉴权结果冲突问题
。
附图说明
[0036]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种分布式存储鉴权方法,其特征在于,包括:响应于收到业务操作请求,判断是否对所述业务操作请求采用联合鉴权机制;响应于所述判断为是,先通过第一鉴权组件对所述业务操作请求进行鉴权,并在所述第一鉴权组件的鉴权结果为通过后,将所述鉴权结果添加到处理所述业务操作请求的业务处理线程的描述信息中;响应于所述线程的描述信息发生变更,调用第二鉴权组件对所述业务操作请求进行鉴权,并在所述第二鉴权组件鉴权通过后通过所述业务处理线程执行所述业务操作请求
。2.
根据权利要求1所述的方法,其特征在于,所述响应于收到业务操作请求,判断是否对所述业务操作请求采用联合鉴权机制的步骤包括:判断是否开启第一鉴权组件,响应于开启第一鉴权组件而判断是否存在单一鉴权策略;响应于存在单一鉴权策略,通过所述第一鉴权组件对所述业务操作请求进行鉴权
。3.
根据权利要求2所述的方法,其特征在于,还包括:响应于所述第一鉴权组件对所述业务操作请求的鉴权结果为通过,通过所述业务处理线程执行所述业务操作请求;响应于所述第一鉴权组件对所述业务操作请求的鉴权结果为失败,将鉴权失败结果反馈给所述业务操作请求的发起端
。4.
根据权利要求2所述的方法,其特征在于,所述响应于收到业务操作请求,判断是否对所述业务操作请求采用联合鉴权机制的步骤还包括:响应于不存在单一鉴权策略,判断分布式存储系统上的联合鉴权标志是否为第一预定值;响应于所述联合鉴权标志为第一预定值,则对所述业务操作请求采用联合鉴权机制;以及响应于所述联合鉴权标志为第二预定值,则拒绝执行所述业务操作请求
。5.
根据权利要求1所述的方法,其特征在于,所述将所述鉴权结果添加到处理所述业务操作请求的业务处理线程的描述信息中的步骤包括:将所述第一鉴权组件的鉴权结果添加到所述业务处理线程的线程名中;...
【专利技术属性】
技术研发人员:王帅阳,霍存可,李旭东,
申请(专利权)人:济南浪潮数据技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。