ES Xpack Kerberos认证流程优化

2024-06-17 03:48

本文主要是介绍ES Xpack Kerberos认证流程优化,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

小序

ES官方Xpack在服务端已经实现了Kerberos认证,会玩的小伙伴配置成功后,可以使用curl命令成功的发起认证请求;然而,由于RestClient客户端并没有默认集成Kerberos认证的能力,如果要使用Kerberos认证功能,必然要自己实现客户端传递认证token到服务端的逻辑,也可以把这段逻辑固化到RestClient.java或者RestClientBuilder.java中(笔者之前的文章中关于这块有大概的介绍)。

然而,还有一个问题,经过系统的测试,笔者发现Kerberos开启之后的性能几乎只有非安全模式的20%-50%(实测,如果测试用例不一样,可能结果和我这个也不一致),其实这个问题原因很简单,经过验证,发现每一次请求在ES的服务端都会验证Kerberos token的有效性,这样做固然安全,但是也就是这么个几乎不到ms级别的逻辑,导致了压测数据令人非常不满意。虽然我拥有了安全,但是性能也太低了吧,好吧,怪不得很多做过Kerberos认证的小伙伴那么讨厌它。

其实这个可以优化,其中一个优化逻辑就是使用Cookie机制,这也不是什么新玩意儿,如果有人接触过HW或者其他厂家的大数据平台,假如你使用过安全模式,又恰好注意到他们的请求Header的话,也许都会发现Cookie的蛛丝马迹。

说白了就是:既然你Kerberos认证慢,那我用Cookie打辅助,Kerberos认证通过的客户端可以不再验证Kerberos token,而是使用Cookie来简单的验证即可。

思路

  • 客户端
  1. 客户端向服务端发送请求,假如是第一次认证(没有收到过服务端Response),那么采用Kerberos认证的方式发送Kerberos ticket到服务端去认证
  2. 假如不是第一次认证(服务端Response消息中有不能伪造的Set-Cookie),那么解析并判断Cookie的有效性,判断是否过期,是否符合格式等,如果一切正常,那么将Set-Cookie的信息转化为Cookie发送给服务端
  • 服务端
  1. 判断请求中是否有Authorization的Header,是的话路由给Kerberos realm处理,再判断是否有Cookie,有的话走Cookie判断流程(仿伪验证),验证通过直接处理请求
  2. 假如没有Cookie,验证Kerberos token的有效性,如果验证成功,生成Set-Cookie的Header,并返回给客户端
  • 注意:
  1. 为了防止伪造Cookie,服务端需要利用一定的方式对Cookie验证,最大可能降低非安全性(其实如果对业务逻辑完全了解,笔者认为也许Cookie就像一张白纸一样透明。。。)
  2. Cookie中最好必须携带认证通过的user信息,认证域信息,以及timestamp信息
  3. 设计良好的验证算法,保证Cookie验证的速度

实践

笔者阅读了源码后尝试的抛砖引玉的方案,注意,Kerberos不是ES官方的免费特性,小伙伴们在使用的时候注意不要引起不必要误会哦~~

  1. AuthenticationService类是ES官方所有认证域的入口类,在这个类中RestRequest以及ThreadContent会师,方便我们把请求中的Cookie信息传递给ThreadContent,即如果Header中存在Cookie Header,我们就put到ThreadContent的后续Header中,如果是Kerberos的请求,就会路由到KerberosRealm类去处理
  2. KerberosRealm类是Kerberos认证的入口类,关键的Kerberos认证逻辑都在这个类里面进行,必要的功能会分解到其他辅助类,在token方法中,负责解析ThreadContent,这个时候如果收到携带Cookie Header的请求,那么解析Cookie Header的内容作为认证Token,否则仍然解析Kerberos ticket作为认证的token;另外,authenticate方法负责在Kerberos认证成功的前提下生成Set-Cookie,假如不是第一次认证,每次都转发Set-Cookie给Response消息
  3. KerberosAuthenticationToken类负责真正的解析token,把token的本质面目揭示出来,发送给KerberosTicketValidator去验证
  4. KerberosTicketValidator类验证token是不是cookie格式的请求以及正确性,是的话直接认证,否则继续走Kerberos ticket的认证
  5. RestClient以及RestClientBuilder负责处理客户端Cookie响应逻辑,并且在Cookie即将超时、Kerberos subject即将超时、或者意外导致Cookie清空的情况下,刷新认证信息

经过笔者尝试,新的认证逻辑仍然比非安全模式(开箱即用的ES)性能上慢了10%左右,毕竟有所进步吧,记录以留念。

这篇关于ES Xpack Kerberos认证流程优化的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1068399

相关文章

Vue3 的 shallowRef 和 shallowReactive:优化性能

大家对 Vue3 的 ref 和 reactive 都很熟悉,那么对 shallowRef 和 shallowReactive 是否了解呢? 在编程和数据结构中,“shallow”(浅层)通常指对数据结构的最外层进行操作,而不递归地处理其内部或嵌套的数据。这种处理方式关注的是数据结构的第一层属性或元素,而忽略更深层次的嵌套内容。 1. 浅层与深层的对比 1.1 浅层(Shallow) 定义

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

HDFS—存储优化(纠删码)

纠删码原理 HDFS 默认情况下,一个文件有3个副本,这样提高了数据的可靠性,但也带来了2倍的冗余开销。 Hadoop3.x 引入了纠删码,采用计算的方式,可以节省约50%左右的存储空间。 此种方式节约了空间,但是会增加 cpu 的计算。 纠删码策略是给具体一个路径设置。所有往此路径下存储的文件,都会执行此策略。 默认只开启对 RS-6-3-1024k

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

MySQL高性能优化规范

前言:      笔者最近上班途中突然想丰富下自己的数据库优化技能。于是在查阅了多篇文章后,总结出了这篇! 数据库命令规范 所有数据库对象名称必须使用小写字母并用下划线分割 所有数据库对象名称禁止使用mysql保留关键字(如果表名中包含关键字查询时,需要将其用单引号括起来) 数据库对象的命名要能做到见名识意,并且最后不要超过32个字符 临时库表必须以tmp_为前缀并以日期为后缀,备份

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

从状态管理到性能优化:全面解析 Android Compose

文章目录 引言一、Android Compose基本概念1.1 什么是Android Compose?1.2 Compose的优势1.3 如何在项目中使用Compose 二、Compose中的状态管理2.1 状态管理的重要性2.2 Compose中的状态和数据流2.3 使用State和MutableState处理状态2.4 通过ViewModel进行状态管理 三、Compose中的列表和滚动

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟