深入理解Java GSS(含kerberos认证及在hadoop、flink案例场景举例)

本文涉及的产品
实时计算 Flink 版,1000CU*H 3个月
简介: 深入理解Java GSS(含kerberos认证及在hadoop、flink案例场景举例)

01 引言

在当今的信息安全环境下,保护敏感数据和网络资源的安全至关重要。Kerberos认证协议作为一种强大的网络身份验证解决方案,被广泛应用于许多大型分布式系统中,如:Hadoop。而Java GSSGeneric Security Services)作为Java提供的通用安全服务,与Kerberos认证密切相关。

本文将探讨Java GSSKerberos认证的基本原理,以及它们之间的关系,同时介绍如何在Hadoop中应用Kerberos认证。

02 Java GSS 简介

详细的导读可以参考:https://www.baeldung.com/java-gss

Java GSS:是Java提供的一套用于网络安全的通用安全服务,它为Java应用程序提供了一致的、独立于底层安全机制的编程接口


Java GSS 的主要目标:简化网络安全编程,并提供与各种安全机制的集成能力


其中,它支持各种常见的安全机制,如 Kerberos 、SSL/TLS和数字证书 等,下图展示了GSS-API 与其内容的关系:

image.png

先简单了解kerberos认证的基本原理。

2.1 Kerberos认证基本原理

可以参考之前我写的博客:https://blog.csdn.net/qq_20042935/article/details/131281618

Kerberos是一个基于票据的身份验证协议,它通过使用共享密钥加密的票据进行认证和授权。


Kerberos认证协议的核心是Kerberos服务器(KDC)和客户端之间的相互信任,下面是Kerberos认证的基本流程:

  • step1:客户端发送身份请求给KDC;
  • step2:KDC验证客户端的身份,并生成一个票据授权给客户端;
  • step3:客户端使用票据请求服务票据授权;
  • step4:KDC验证客户端的请求,并生成一个服务票据授权给客户端;
  • step5:客户端将服务票据授权发送给服务端;
  • step6:服务端验证票据并向客户端发送一个加密的会话密钥;
  • step7:客户端和服务端使用会话密钥进行通信。

2.2 Kerberos在Java GSS中的应用

Java GSS提供了一种使用Kerberos认证协议进行安全通信的方式,它通过Java GSS-API提供了对Kerberos协议的封装和支持,简化了开发者使用Kerberos进行身份验证和安全通信的过程。


Java GSS提供了以下关键功能:

  • GSSContext:用于建立和管理安全上下文,支持与Kerberos服务器进行交互;
  • GSSCredential:用于表示和管理Kerberos凭证,包括Keytab文件和Principal
  • GSSName:用于表示和管理Kerberos中的主体。

Java GSSKerberos的密切关系在于Java GSS为开发者提供了一种简单而强大的方式来集成和使用Kerberos认证协议,实现安全的网络通信。 以下是相关的核心代码示例:

import javax.security.auth.Subject;
import javax.security.auth.login.Configuration;
import javax.security.auth.login.LoginContext;
import javax.security.auth.login.LoginException;
import org.ietf.jgss.*;

public class GSSDemo {
   
   
    public static void main(String[] args) {
   
   
        try {
   
   
            // 设置Kerberos配置文件路径
            System.setProperty("java.security.krb5.conf", "/path/to/krb5.conf");

            // 创建一个LoginContext来进行Kerberos认证
            LoginContext loginContext = new LoginContext("KerberosClient", null, null, new CustomConfiguration());

            // 执行Kerberos认证
            loginContext.login();

            // 从Subject中获取GSSCredential
            Subject subject = loginContext.getSubject();
            GSSCredential credential = subject.getPrivateCredentials(GSSCredential.class).iterator().next();

            // 创建一个GSSManager实例
            GSSManager gssManager = GSSManager.getInstance();

            // 创建一个GSSName,表示Kerberos中的主体
            GSSName serverName = gssManager.createName("HTTP/server.example.com", GSSName.NT_HOSTBASED_SERVICE);

            // 创建一个GSSContext,用于建立和管理安全上下文
            GSSContext context = gssManager.createContext(serverName, GSSCredential.DEFAULT_LIFETIME, credential, GSSContext.DEFAULT_LIFETIME);

            // 建立安全上下文
            byte[] token = new byte[0];
            while (!context.isEstablished()) {
   
   
                token = context.initSecContext(token, 0, token.length);
            }

            // 获取建立的安全上下文的信息
            String contextInfo = context.toString();

            // 输出安全上下文信息
            System.out.println("安全上下文已建立:" + contextInfo);

            // 完成Kerberos认证后,执行其他操作
            // ...

            // 登出
            loginContext.logout();
        } catch (LoginException | GSSException e) {
   
   
            e.printStackTrace();
        }
    }

    static class CustomConfiguration extends Configuration {
   
   
        @Override
        public AppConfigurationEntry[] getAppConfigurationEntry(String name) {
   
   
            HashMap<String, String> options = new HashMap<>();
            options.put("keyTab", "/path/to/user.keytab");
            options.put("principal", "user@example.com");
            options.put("useKeyTab", "true");
            options.put("storeKey", "true");
            options.put("doNotPrompt", "true");
            options.put("isInitiator", "true");
            options.put("refreshKrb5Config", "true");
            options.put("renewTGT", "true");
            options.put("useTicketCache", "true");
            options.put("ticketCache", "/tmp/krb5cc_" + getUid());

            return new AppConfigurationEntry[]{
   
   
                    new AppConfigurationEntry("com.sun.security.auth.module.Krb5LoginModule",
                            AppConfigurationEntry.LoginModuleControlFlag.REQUIRED, options)
            };
        }

        private String getUid() {
   
   
            try {
   
   
                return new ProcessBuilder("id", "-u").start().getInputStream().readAllBytes().toString().trim();
            } catch (IOException e) {
   
   
                e.printStackTrace();
                return "0";
            }
        }
    }
}

03 应用

3.1 在hadoop中的应用

直接上代码,这里当然有更简单的方式,为了清楚的说明流程,所以写的比较啰嗦。下面展示了在完成Kerberos认证后,执行访问Hadoop HDFS的操作的代码片段:

import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.fs.FileSystem;
import org.apache.hadoop.fs.Path;

import javax.security.auth.Subject;
import javax.security.auth.login.Configuration;
import javax.security.auth.login.LoginContext;
import javax.security.auth.login.LoginException;
import org.ietf.jgss.*;

public class GSSDemo {
   
   
    public static void main(String[] args) {
   
   
        try {
   
   
            // 设置Kerberos配置文件路径
            System.setProperty("java.security.krb5.conf", "/path/to/krb5.conf");

            // 创建一个LoginContext来进行Kerberos认证
            LoginContext loginContext = new LoginContext("KerberosClient", null, null, new CustomConfiguration());

            // 执行Kerberos认证
            loginContext.login();

            // 从Subject中获取GSSCredential
            Subject subject = loginContext.getSubject();
            GSSCredential credential = subject.getPrivateCredentials(GSSCredential.class).iterator().next();

            // 创建一个GSSManager实例
            GSSManager gssManager = GSSManager.getInstance();

            // 创建一个GSSName,表示Kerberos中的主体
            GSSName serverName = gssManager.createName("HTTP/server.example.com", GSSName.NT_HOSTBASED_SERVICE);

            // 创建一个GSSContext,用于建立和管理安全上下文
            GSSContext context = gssManager.createContext(serverName, GSSCredential.DEFAULT_LIFETIME, credential, GSSContext.DEFAULT_LIFETIME);

            // 建立安全上下文
            byte[] token = new byte[0];
            while (!context.isEstablished()) {
   
   
                token = context.initSecContext(token, 0, token.length);
            }

            // 获取建立的安全上下文的信息
            String contextInfo = context.toString();

            // 输出安全上下文信息
            System.out.println("安全上下文已建立:" + contextInfo);

            // 完成Kerberos认证后,执行其他操作

            // 配置Hadoop文件系统
            Configuration hadoopConf = new Configuration();
            hadoopConf.addResource(new Path("/path/to/core-site.xml"));
            hadoopConf.addResource(new Path("/path/to/hdfs-site.xml"));

            // 登录Kerberos
            org.apache.hadoop.security.UserGroupInformation.loginUserFromSubject(subject);

            // 创建Hadoop文件系统对象
            FileSystem fs = FileSystem.get(hadoopConf);

            // 执行HDFS操作
            Path path = new Path("/user/example");
            if (fs.exists(path)) {
   
   
                System.out.println("目录已存在");
            } else {
   
   
                fs.mkdirs(path);
                System.out.println("目录创建成功");
            }

            // 登出
            loginContext.logout();
        } catch (LoginException | GSSException | IOException e) {
   
   
            e.printStackTrace();
        }
    }
}

static class CustomConfiguration extends Configuration {
   
   
        @Override
        public AppConfigurationEntry[] getAppConfigurationEntry(String name) {
   
   
            HashMap<String, String> options = new HashMap<>();
            options.put("keyTab", "/path/to/user.keytab");
            options.put("principal", "user@example.com");
            options.put("useKeyTab", "true");
            options.put("storeKey", "true");
            options.put("doNotPrompt", "true");
            options.put("isInitiator", "true");
            options.put("refreshKrb5Config", "true");
            options.put("renewTGT", "true");
            options.put("useTicketCache", "true");
            options.put("ticketCache", "/tmp/krb5cc_" + getUid());

            return new AppConfigurationEntry[]{
   
   
                    new AppConfigurationEntry("com.sun.security.auth.module.Krb5LoginModule",
                            AppConfigurationEntry.LoginModuleControlFlag.REQUIRED, options)
            };
        }

        private String getUid() {
   
   
            try {
   
   
                return new ProcessBuilder("id", "-u").start().getInputStream().readAllBytes().toString().trim();
            } catch (IOException e) {
   
   
                e.printStackTrace();
                return "0";
            }
        }
    }

从上述代码中,不难发现,其实Hadoop包里面的UserGroupInfomation底层就是使用了Java GSS,其核心代码片段如下:
image.png

3.2 在Flink中的应用

如果部署Flink作业采用Flink On yarn的模式,Hadoop开启了kerberos认证,也是需要配置kerberos信息的,具体配置flink-conf.yaml文件就可以了,具体配置如下信息:
image.png

直接跳到flink核心的源码:
image.png

上述完整流程就是:首先用户输入flink命令 => 脚本解析 => 进入CliFronted.main方法 => 接着执行了SecurityUtils.install方法 => 最后走到HadoopModule,使用UserGroupInfomation去做登录,而UserGroupInfomation底层就是使用Java Gss去做登录认证的

3.3 小结

从上述的代码可以看出,Java GSS在Hadoop和Flink中,其实他们彼此都有联系的:

  • Hadoop中,UserGroupInformationHadoop中处理用户身份验证、权限管理和安全上下文的关键组件之一;
  • UserGroupInformation负责处理Kerberos的凭证管理和身份验证;
  • UserGroupInformation的底层代码是由Java GSS实现的;
  • Flink On Yarn模式最终部署逻辑,底层也是使用到了UserGroupInformation这个类。

04 文末

本文主要主要围绕Java GSSKerberosUserGroupInformation 这三个核心知识点进行了讲解,希望能帮助到大家,谢谢大家的阅读,本文完!

相关实践学习
基于Hologres+Flink搭建GitHub实时数据大屏
通过使用Flink、Hologres构建实时数仓,并通过Hologres对接BI分析工具(以DataV为例),实现海量数据实时分析.
实时计算 Flink 实战课程
如何使用实时计算 Flink 搞定数据处理难题?实时计算 Flink 极客训练营产品、技术专家齐上阵,从开源 Flink功能介绍到实时计算 Flink 优势详解,现场实操,5天即可上手! 欢迎开通实时计算 Flink 版: https://cn.aliyun.com/product/bigdata/sc Flink Forward Asia 介绍: Flink Forward 是由 Apache 官方授权,Apache Flink Community China 支持的会议,通过参会不仅可以了解到 Flink 社区的最新动态和发展计划,还可以了解到国内外一线大厂围绕 Flink 生态的生产实践经验,是 Flink 开发者和使用者不可错过的盛会。 去年经过品牌升级后的 Flink Forward Asia 吸引了超过2000人线下参与,一举成为国内最大的 Apache 顶级项目会议。结合2020年的特殊情况,Flink Forward Asia 2020 将在12月26日以线上峰会的形式与大家见面。
目录
相关文章
|
3月前
|
自然语言处理 前端开发 Java
JBoltAI 框架完整实操案例 在 Java 生态中快速构建大模型应用全流程实战指南
本案例基于JBoltAI框架,展示如何快速构建Java生态中的大模型应用——智能客服系统。系统面向电商平台,具备自动回答常见问题、意图识别、多轮对话理解及复杂问题转接人工等功能。采用Spring Boot+JBoltAI架构,集成向量数据库与大模型(如文心一言或通义千问)。内容涵盖需求分析、环境搭建、代码实现(知识库管理、核心服务、REST API)、前端界面开发及部署测试全流程,助你高效掌握大模型应用开发。
376 5
|
3月前
|
前端开发 JavaScript Java
Java 学习路线规划及项目案例中的技术栈应用解析
内容包括:**Java 17核心特性**(如sealed class、record)与模块化开发;Spring Boot 3 + Spring Cloud微服务架构,涉及响应式编程(WebFlux)、多数据库持久化(JPA、R2DBC、MongoDB);云原生技术**如Docker、Kubernetes及CI/CD流程;性能优化(GraalVM Native Image、JVM调优);以及前后端分离开发(Vue 3、Spring Boot集成)。通过全栈电商平台项目实战,掌握从后端服务(用户、商品、订单)到前端应用(Vue 3、React Native)的全流程开发。
166 9
|
2月前
|
安全 Java API
Java 集合高级应用与实战技巧之高效运用方法及实战案例解析
本课程深入讲解Java集合的高级应用与实战技巧,涵盖Stream API、并行处理、Optional类、现代化Map操作、不可变集合、异步处理及高级排序等核心内容,结合丰富示例,助你掌握Java集合的高效运用,提升代码质量与开发效率。
193 0
|
2月前
|
安全 JavaScript Java
java Web 项目完整案例实操指南包含从搭建到部署的详细步骤及热门长尾关键词解析的实操指南
本项目为一个完整的JavaWeb应用案例,采用Spring Boot 3、Vue 3、MySQL、Redis等最新技术栈,涵盖前后端分离架构设计、RESTful API开发、JWT安全认证、Docker容器化部署等内容,适合掌握企业级Web项目全流程开发与部署。
143 0
|
3月前
|
人工智能 Java 开发者
【Java实例-简易计算机】使用Java实现简单的计算机案例
一个简单的Java案例——“简易计算器”,帮助编程新手快速上手。通过实现用户输入、基本逻辑运算和结果输出,学习者可以掌握变量声明、Scanner对象使用、控制流语句等关键知识点。文章分为设计思路、关键知识点、完整代码和测试运行四个部分。
124 9
【Java实例-简易计算机】使用Java实现简单的计算机案例
|
3月前
|
缓存 算法 NoSQL
校招 Java 面试高频常见知识点深度解析与实战案例详细分享
《2025校招Java面试核心指南》总结了Java技术栈的最新考点,涵盖基础语法、并发编程和云原生技术三大维度: 现代Java特性:重点解析Java 17密封类、Record类型及响应式Stream API,通过电商案例演示函数式数据处理 并发革命:对比传统线程池与Java 21虚拟线程,详解Reactor模式在秒杀系统中的应用及背压机制 云原生实践:提供Spring Boot容器化部署方案,分析Spring WebFlux响应式编程和Redis Cluster缓存策略。
85 1
|
3月前
|
人工智能 Java API
Java 生态大模型应用开发全流程实战案例与技术路径终极对决
在Java生态中开发大模型应用,Spring AI、LangChain4j和JBoltAI是三大主流框架。本文从架构设计、核心功能、开发体验、性能扩展性、生态社区等维度对比三者特点,并结合实例分析选型建议。Spring AI适合已有Spring技术栈团队,LangChain4j灵活性强适用于学术研究,JBoltAI提供开箱即用的企业级解决方案,助力传统系统快速AI化改造。开发者可根据业务场景和技术背景选择最适合的框架。
484 2
|
3月前
|
存储 Java 数据安全/隐私保护
Java技术栈揭秘:Base64加密和解密文件的实战案例
以上就是我们今天关于Java实现Base64编码和解码的实战案例介绍。希望能对你有所帮助。还有更多知识等待你去探索和学习,让我们一同努力,继续前行!
303 5
|
3月前
|
缓存 NoSQL Java
校招 Java 面试常见知识点及实战案例全解析
本文全面解析了Java校招面试中的常见知识点,涵盖Java新特性(如Lambda表达式、、Optional类)、集合框架高级应用(线程安全集合、Map性能优化)、多线程与并发编程(线程池配置)、JVM性能调优(内存溢出排查、垃圾回收器选择)、Spring与微服务实战(Spring Boot自动配置)、数据库与ORM框架(MyBatis高级用法、索引优化)、分布式系统(分布式事务、缓存应用)、性能优化(接口优化、高并发限流)、单元测试与代码质量(JUnit 5、Mockito、JaCoCo)以及项目实战案例(电商秒杀系统、社交消息推送)。资源地址: [https://pan.quark.cn/s
156 4
|
3月前
|
Java 调度 流计算
基于Java 17 + Spring Boot 3.2 + Flink 1.18的智慧实验室管理系统核心代码
这是一套基于Java 17、Spring Boot 3.2和Flink 1.18开发的智慧实验室管理系统核心代码。系统涵盖多协议设备接入(支持OPC UA、MQTT等12种工业协议)、实时异常检测(Flink流处理引擎实现设备状态监控)、强化学习调度(Q-Learning算法优化资源分配)、三维可视化(JavaFX与WebGL渲染实验室空间)、微服务架构(Spring Cloud构建分布式体系)及数据湖建设(Spark构建实验室数据仓库)。实际应用中,该系统显著提升了设备调度效率(响应时间从46分钟降至9秒)、设备利用率(从41%提升至89%),并大幅减少实验准备时间和维护成本。
253 0

热门文章

最新文章