开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > 网格计算 > 查看源码
ProxyFilter.java
资源名称:hadoop-0.20.0.tar.gz [点击查看]
上传用户:quxuerui
上传日期:2018-01-08
资源大小:41811k
文件大小:12k
源码类别:

网格计算

开发平台:

Java

ProxyFilter.java:源码内容
  1. /**
  2.  * Licensed to the Apache Software Foundation (ASF) under one
  3.  * or more contributor license agreements.  See the NOTICE file
  4.  * distributed with this work for additional information
  5.  * regarding copyright ownership.  The ASF licenses this file
  6.  * to you under the Apache License, Version 2.0 (the
  7.  * "License"); you may not use this file except in compliance
  8.  * with the License.  You may obtain a copy of the License at
  9.  *
  10.  *     http://www.apache.org/licenses/LICENSE-2.0
  11.  *
  12.  * Unless required by applicable law or agreed to in writing, software
  13.  * distributed under the License is distributed on an "AS IS" BASIS,
  14.  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  15.  * See the License for the specific language governing permissions and
  16.  * limitations under the License.
  17.  */
  18. package org.apache.hadoop.hdfsproxy;
  20. import java.io.IOException;
  21. import java.math.BigInteger;
  22. import java.security.cert.X509Certificate;
  23. import java.security.cert.CertificateExpiredException;
  24. import java.security.cert.CertificateNotYetValidException;
  25. import java.util.Enumeration;
  26. import java.util.HashMap;
  27. import java.util.HashSet;
  28. import java.util.Map;
  29. import java.util.Set;
  30. import java.util.regex.Pattern;
  32. import javax.servlet.Filter;
  33. import javax.servlet.FilterChain;
  34. import javax.servlet.FilterConfig;
  35. import javax.servlet.http.HttpServletRequest;
  36. import javax.servlet.http.HttpServletResponse;
  37. import javax.servlet.ServletException;
  38. import javax.servlet.ServletRequest;
  39. import javax.servlet.ServletResponse;
  41. import org.apache.commons.logging.Log;
  42. import org.apache.commons.logging.LogFactory;
  43. import org.apache.hadoop.conf.Configuration;
  44. import org.apache.hadoop.fs.Path;
  45. import org.apache.hadoop.security.UnixUserGroupInformation;
  47. public class ProxyFilter implements Filter {
  48.   public static final Log LOG = LogFactory.getLog(ProxyFilter.class);
  50.   /** Pattern for triggering reload of user permissions */
  51.   protected static final Pattern RELOAD_PATTERN = Pattern
  52.       .compile("^(/reloadPermFiles)$");
  53.   /** Pattern for triggering clearing of ugi Cache */
  54.   protected static final Pattern CLEAR_PATTERN = Pattern
  55.       .compile("^(/clearUgiCache)$");
  56.   /** Pattern for a filter to find out if a request is HFTP/HSFTP request */
  57.   protected static final Pattern HFTP_PATTERN = Pattern
  58.       .compile("^(/listPaths|/data|/streamFile)$");
  59.   /**
  60.    * Pattern for a filter to find out if an HFTP/HSFTP request stores its file
  61.    * path in the extra path information associated with the URL; if not, the
  62.    * file path is stored in request parameter "filename"
  63.    */
  64.   protected static final Pattern FILEPATH_PATTERN = Pattern
  65.       .compile("^(/listPaths|/data)$");
  67.   private static volatile Map<String, Set<Path>> permsMap;
  68.   private static volatile Map<String, Set<BigInteger>> certsMap;
  69.   static {
  70.     Configuration conf = new Configuration(false);
  71.     conf.addResource("hdfsproxy-default.xml");
  72.     Map<String, Set<Path>> pMap = getPermMap(conf);
  73.     permsMap = pMap != null ? pMap : new HashMap<String, Set<Path>>();
  74.     Map<String, Set<BigInteger>> cMap = getCertsMap(conf);
  75.     certsMap = cMap != null ? cMap : new HashMap<String, Set<BigInteger>>();
  76.   }
  78.   /** {@inheritDoc} */
  79.   public void init(FilterConfig filterConfig) throws ServletException {
  80.   }
  82.   private static Map<String, Set<Path>> getPermMap(Configuration conf) {
  83.     String permLoc = conf.get("hdfsproxy.user.permissions.file.location",
  84.         "user-permissions.xml");
  85.     if (conf.getResource(permLoc) == null) {
  86.       LOG.warn("HdfsProxy user permissions file not found");
  87.       return null;
  88.     }
  89.     Configuration permConf = new Configuration(false);
  90.     permConf.addResource(permLoc);
  91.     Map<String, Set<Path>> map = new HashMap<String, Set<Path>>();
  92.     for (Map.Entry<String, String> e : permConf) {
  93.       String k = e.getKey();
  94.       String v = e.getValue();
  95.       if (k != null && k.length() != 0 && v != null && v.length() != 0) {
  96.         Set<Path> pathSet = new HashSet<Path>();
  97.         String[] paths = v.split(",\s*");
  98.         for (String p : paths) {
  99.           if (p.length() != 0) {
  100.             pathSet.add(new Path(p));
  101.           }
  102.         }
  103.         map.put(k, pathSet);
  104.       }
  105.     }
  106.     return map;
  107.   }
  109.   private static Map<String, Set<BigInteger>> getCertsMap(Configuration conf) {
  110.     String certsLoc = conf.get("hdfsproxy.user.certs.file.location",
  111.         "user-certs.xml");
  112.     if (conf.getResource(certsLoc) == null) {
  113.       LOG.warn("HdfsProxy user certs file not found");
  114.       return null;
  115.     }
  116.     Configuration certsConf = new Configuration(false);
  117.     certsConf.addResource(certsLoc);
  118.     Map<String, Set<BigInteger>> map = new HashMap<String, Set<BigInteger>>();
  119.     for (Map.Entry<String, String> e : certsConf) {
  120.       String k = e.getKey();
  121.       String v = e.getValue().trim();
  122.       if (k != null && k.length() != 0 && v != null && v.length() != 0) {
  123.         Set<BigInteger> numSet = new HashSet<BigInteger>();
  124.         String[] serialnumbers = v.split("\s*,\s*");
  125.         for (String num : serialnumbers) {
  126.           if (num.length() != 0) {
  127.             numSet.add(new BigInteger(num, 16));
  128.           }
  129.         }
  130.         map.put(k, numSet);
  131.       }
  132.     }
  133.     return map;
  134.   }
  136.   /** {@inheritDoc} */
  137.   public void destroy() {
  138.   }
  140.   /** {@inheritDoc} */
  141.   public void doFilter(ServletRequest request, ServletResponse response,
  142.       FilterChain chain) throws IOException, ServletException {
  144.     HttpServletRequest rqst = (HttpServletRequest) request;
  145.     HttpServletResponse rsp = (HttpServletResponse) response;
  147.     if (LOG.isDebugEnabled()) {
  148.       StringBuilder b = new StringBuilder("Request from ").append(
  149.           rqst.getRemoteHost()).append("/").append(rqst.getRemoteAddr())
  150.           .append(":").append(rqst.getRemotePort());
  152.       @SuppressWarnings("unchecked")
  153.       Enumeration<String> e = rqst.getAttributeNames();
  154.       for (; e.hasMoreElements();) {
  155.         String attribute = e.nextElement();
  156.         b.append("n  " + attribute + " => " + rqst.getAttribute(attribute));
  157.       }
  159.       X509Certificate[] userCerts = (X509Certificate[]) rqst
  160.           .getAttribute("javax.servlet.request.X509Certificate");
  161.       if (userCerts != null)
  162.         for (X509Certificate cert : userCerts)
  163.           b.append("n Client certificate Subject Name is "
  164.               + cert.getSubjectX500Principal().getName());
  166.       b.append("n The Scheme is " + rqst.getScheme());
  167.       b.append("n The Auth Type is " + rqst.getAuthType());
  168.       b.append("n The Path Info is " + rqst.getPathInfo());
  169.       b.append("n The Translated Path Info is " + rqst.getPathTranslated());
  170.       b.append("n The Context Path is " + rqst.getContextPath());
  171.       b.append("n The Query String is " + rqst.getQueryString());
  172.       b.append("n The Remote User is " + rqst.getRemoteUser());
  173.       b.append("n The User Principal is " + rqst.getUserPrincipal());
  174.       b.append("n The Request URI is " + rqst.getRequestURI());
  175.       b.append("n The Request URL is " + rqst.getRequestURL());
  176.       b.append("n The Servlet Path is " + rqst.getServletPath());
  178.       LOG.debug(b.toString());
  179.     }
  181.     if (rqst.getScheme().equalsIgnoreCase("https")) {
  182.       boolean isAuthorized = false;
  183.       X509Certificate[] certs = (X509Certificate[]) rqst
  184.           .getAttribute("javax.servlet.request.X509Certificate");
  185.       if (certs == null || certs.length == 0) {
  186.         rsp.sendError(HttpServletResponse.SC_BAD_REQUEST,
  187.             "No client SSL certificate received");
  188.         return;
  189.       }
  190.       for (X509Certificate cert : certs) {
  191.         try {
  192.           cert.checkValidity();
  193.         } catch (CertificateExpiredException e) {
  194.           LOG.info("Received cert for "
  195.               + cert.getSubjectX500Principal().getName() + " expired");
  196.           rsp
  197.               .sendError(HttpServletResponse.SC_FORBIDDEN,
  198.                   "Certificate expired");
  199.           return;
  200.         } catch (CertificateNotYetValidException e) {
  201.           LOG.info("Received cert for "
  202.               + cert.getSubjectX500Principal().getName() + " is not yet valid");
  203.           rsp.sendError(HttpServletResponse.SC_FORBIDDEN,
  204.               "Certificate is not yet valid");
  205.           return;
  206.         }
  207.       }
  209.       String[] tokens = certs[0].getSubjectX500Principal().getName().split(
  210.           "\s*,\s*");
  211.       String userID = null;
  212.       for (String s : tokens) {
  213.         if (s.startsWith("CN=")) {
  214.           userID = s;
  215.           break;
  216.         }
  217.       }
  218.       if (userID == null || userID.length() < 4) {
  219.         LOG.info("Can't retrieve user ID from SSL certificate");
  220.         rsp.sendError(HttpServletResponse.SC_FORBIDDEN,
  221.             "Can't retrieve user ID from SSL certificate");
  222.         return;
  223.       }
  224.       userID = userID.substring(3);
  226.       String servletPath = rqst.getServletPath();
  227.       if (HFTP_PATTERN.matcher(servletPath).matches()) {
  228.         // request is an HSFTP request
  229.         if (FILEPATH_PATTERN.matcher(servletPath).matches()) {
  230.           // file path as part of the URL
  231.           isAuthorized = checkPath(userID, certs[0],
  232.               rqst.getPathInfo() != null ? rqst.getPathInfo() : "/");
  233.         } else {
  234.           // file path is stored in "filename" parameter
  235.           isAuthorized = checkPath(userID, certs[0], rqst
  236.               .getParameter("filename"));
  237.         }
  238.       } else if (RELOAD_PATTERN.matcher(servletPath).matches()
  239.           && checkUser("Admin", certs[0])) {
  240.         Configuration conf = new Configuration(false);
  241.         conf.addResource("hdfsproxy-default.xml");
  242.         Map<String, Set<Path>> permsMap = getPermMap(conf);
  243.         Map<String, Set<BigInteger>> certsMap = getCertsMap(conf);
  244.         if (permsMap == null || certsMap == null) {
  245.           LOG.warn("Permission files reloading failed");
  246.           rsp.sendError(HttpServletResponse.SC_INTERNAL_SERVER_ERROR,
  247.               "Permission files reloading failed");
  248.           return;
  249.         }
  250.         ProxyFilter.permsMap = permsMap;
  251.         ProxyFilter.certsMap = certsMap;
  252.         LOG.info("User permissions and user certs files reloaded");
  253.         rsp.setStatus(HttpServletResponse.SC_OK);
  254.         return;
  255.       } else if (CLEAR_PATTERN.matcher(servletPath).matches()
  256.           && checkUser("Admin", certs[0])) {
  257.         ProxyUgiManager.clearCache();
  258.         LOG.info("Ugi cache cleared");
  259.         rsp.setStatus(HttpServletResponse.SC_OK);
  260.         return;
  261.       }
  263.       if (!isAuthorized) {
  264.         rsp.sendError(HttpServletResponse.SC_FORBIDDEN, "Unauthorized access");
  265.         return;
  266.       }
  267.       // request is authorized, set ugi for servlets
  268.       UnixUserGroupInformation ugi = ProxyUgiManager
  269.           .getUgiForUser(userID);
  270.       if (ugi == null) {
  271.         LOG.info("Can't retrieve ugi for user " + userID);
  272.         rsp.sendError(HttpServletResponse.SC_INTERNAL_SERVER_ERROR,
  273.             "Can't retrieve ugi for user " + userID);
  274.         return;
  275.       }
  276.       rqst.setAttribute("authorized.ugi", ugi);
  277.     } else { // http request, set ugi for servlets, only for testing purposes
  278.       String ugi = rqst.getParameter("ugi");
  279.       rqst.setAttribute("authorized.ugi", new UnixUserGroupInformation(ugi
  280.           .split(",")));
  281.     }
  283.     chain.doFilter(request, response);
  284.   }
  286.   /** check that client's cert is listed in the user certs file */
  287.   private boolean checkUser(String userID, X509Certificate cert) {
  288.     Set<BigInteger> numSet = certsMap.get(userID);
  289.     if (numSet == null) {
  290.       LOG.info("User " + userID + " is not configured in the user certs file");
  291.       return false;
  292.     }
  293.     if (!numSet.contains(cert.getSerialNumber())) {
  294.       LOG.info("Cert with serial number " + cert.getSerialNumber()
  295.           + " is not listed for user " + userID);
  296.       return false;
  297.     }
  298.     return true;
  299.   }
  301.   /** check that the requested path is listed in the user permissions file */
  302.   private boolean checkPath(String userID, X509Certificate cert, String pathInfo) {
  303.     if (!checkUser(userID, cert)) {
  304.       return false;
  305.     }
  307.     Set<Path> pathSet = permsMap.get(userID);
  308.     if (pathSet == null) {
  309.       LOG.info("User " + userID
  310.               + " is not listed in the user permissions file");
  311.       return false;
  312.     }
  313.     if (pathInfo == null || pathInfo.length() == 0) {
  314.       LOG.info("Can't get file path from HTTPS request; user is " + userID);
  315.       return false;
  316.     }
  318.     Path userPath = new Path(pathInfo);
  319.     while (userPath != null) {
  320.       if (LOG.isDebugEnabled()) {
  321.         LOG.debug("n Checking file path " + userPath);
  322.       }
  323.       if (pathSet.contains(userPath))
  324.         return true;
  325.       userPath = userPath.getParent();
  326.     }
  327.     LOG.info("User " + userID + " is not authorized to access " + pathInfo);
  328.     return false;
  329.   }
  330. }