Аутентификация Shiro

Чтобы подключиться к Zeppelin, пользователям будет предложено ввести свои учетные данные. После входа пользователь получает доступ ко всем заметкам, в том числе к заметкам других пользователей. Это первый шаг к полной безопасности, как реализовано в этом запросе на вытягивание (pull request) (https://github.com/apache/zeppelin/pull/53).

Для более подробной информации, включая информацию о настройке безопасности, конфигурации групп пользователей и прав доступа, обратитесь к разделу Shiro Authentication in Apache Zeppelin на нашем официальном сайте.# Примечания к реализации

Терминология

Термины username, owner и principal используются взаимозаменяемо для обозначения текущего аутентифицированного пользователя.

Что мы защищаем?

Zeppelin представляет собой веб-приложение, которое запускает удалённые интерпретаторы для выполнения команд и возврата HTML-фрагментов для отображения в браузере пользователя. Область этого запроса на вытягивание состоит в том, чтобы требовать учётные данные для доступа к Zeppelin. Для достижения этой цели используется Apache Shiro.

Безопасность HTTP-конечных точек

Apache Shiro работает как фильтр сервлета между браузером и экспонируемыми службами и управляет необходимой аутентификацией без необходимости программирования (см. Apache Shiro для получения дополнительной информации).

Безопасность WebSocket

Защита HTTP-конечных точек недостаточна, поскольку Zeppelin также общается с браузером через WebSocket. Чтобы защитить этот канал, мы используем следующий подход:

1. При запуске браузер запрашивает билет через HTTP
2. Серверный фильтр сервлета Apache Shiro обрабатывает аутентификацию пользователя
3. Как только пользователь проходит аутентификацию, ему присваивается билет, который затем возвращается браузеруВсе сообщения через WebSocket требуют указания имени пользователя и билета со стороны браузера. При получении сообщения через WebSocket сервер проверяет, что полученный билет соответствует билету, присвоенному имени пользователя через HTTP-запрос (шаг 3 выше).