技术特征:
1.一种基于角色的kafka访问控制方法,其特征在于,所述方法包括以下步骤:步骤一:数据访问请求者向角色管理服务器申请角色,角色管理服务器根据数据访问请求者的身份为数据访问请求者分配角色,并将角色证书颁发给数据访问请求者;其中,数据访问请求者的身份包括消费者和生产者;步骤二:数据访问请求者持角色证书向kafka提交操作请求;步骤三:kafka截获数据访问请求者的操作请求;步骤四:kafka判断所述数据访问请求者是否具有操作权限;若具有,则执行数据访问请求者的操作请求,若不具有,则返回给数据访问请求者拒绝服务的提示信息;其中,所述步骤四的方法具体包括以下步骤:判断数据访问请求者的身份是否合法,如果数据访问请求者身份非法则向数据访问请求者返回拒绝提供服务的提示信息,否则进一步判断数据访问请求者角色是否合法;如果数据访问请求者角色非法则向数据访问请求者返回拒绝提供服务的提示信息,否则进一步判断数据访问请求者操作请求是否合法;若数据访问请求者操作请求合法则执行数据访问请求者的操作请求,否则返回拒绝提供服务的提示信息。2.如权利要求1所述的一种基于角色的kafka访问控制方法,其特征在于,所述步骤一中角色管理服务器生成角色密钥,通过角色密钥生成角色证书。3.如权利要求1所述的一种基于角色的kafka访问控制方法,其特征在于,在所述步骤一中角色管理服务器为数据访问请求者分配角色之前还包括:管理员设定角色组并分别为每组角色授权。4.如权利要求1所述的一种基于角色的kafka访问控制方法,其特征在于,所述操作请求包括读权限和写权限。5.如权利要求4所述的一种基于角色的kafka访问控制方法,其特征在于,为消费者赋予读权限、生产者赋予写权限。
技术总结
一种基于角色的Kafka访问控制方法包括:数据访问请求者向角色管理服务器申请角色,根据数据访问请求者的身份为数据访问请求者分配角色,并将角色证书颁发给数据访问请求者;数据访问请求者持角色证书向Kafka提交操作请求;Kafka截获数据访问请求者的操作请求;Kafka判断所述数据访问请求者是否具有操作权限;若具有,则执行数据访问请求者的操作请求,若不具有,则返回给数据访问请求者拒绝服务的提示信息。本方法根据数据访问请求者身份分配不同的角色,使数据访问请求者与访问权限相分离,实现更加灵活的访问控制管理;同时,提出了基于角色证书的安全访问控制策略和数据读写机制,实现了对数据访问请求者访问Kafka的灵活动态授权。活动态授权。活动态授权。
技术研发人员:郑海 张连新 王靖午
受保护的技术使用者:方盈金泰科技(北京)有限公司
技术研发日:2022.08.25
技术公布日:2022/11/22