当前位置：首页 > news >正文

ES鉴权设计以及相关探讨

news 2026/2/9 23:49:16

文章目录

1. es的鉴权设计
2. es鉴权应用范围
3. es鉴权的常用方法
- 3.1 认证体系
- 3.2 x-pack认证
- - 3.2.1 开启并配置 X-Pack 的认证与鉴权
  - 3.2.2 默认用户和角色
  - 3.2.3 创建用户和角色
  - 3.2.4 通过用户名和密码访问es
4. 参考文档

鉴权，分别由鉴和权组成

鉴：表示身份认证，认证相关用户是否存在以及相关的用户名和密码是否一致
权：完成身份的鉴后，还需要判断用户是否有相关操作的权限。

因此对于某一个用户来说，通常情况下，需要完成鉴和权才能够满足一个完整的业务场景，因此通常将鉴权放在一起考量。本文探讨es的鉴权常用的鉴权方式以及相关鉴权设计方式。

1. es的鉴权设计

es通常不需要进行鉴权设计，但是由于一些项目的安全性要求，会进行要求鉴权配置

鉴：身份认证

身份的认证有4种方式：

SASL/GSSAPI：kerberos认证方式，一般使用随机密码的keytab认证方式，密码是加密的，也是企业里使用最多的认证方式，在0.9版本引入；
SASL/PLAIN：这种方式其实就是一个账号/密码的认证方式，不过它有很多缺陷，比如用户名密码是存储在文件中，不能动态添加，密码明文等等！这些特性决定了它比较鸡肋，但好处是足够简单，这使得我们可以方便地对它进行二次开发，在0.10版本引入；
SASL/SCRAM：针对SASL/PLAIN方式的不足而提供的另一种认证方式。这种方式的用户名/密码是存储中zookeeper的，因此能够支持动态添加用户。该种认证方式还会使用sha256或sha512对密码加密，安全性相对会高一些，在0.10.2版本引入；
SASL/OAUTHBEARER：是基于OAuth 2.0的认证框架，实现较为复杂，目前业内应该较少使用，在2.0版本引入。

权：操作权限
5种操作权限：
CREATE、READ、WRITE、DELETE、ADMIN 也就是增、删、改、查、管理权限，

注：这5种权限中，delete是指对子节点的删除权限，其它4种权限指对自身节点的操作权限。

2. es鉴权应用范围

es的鉴权范围，通常会包括2个层面

es之间的通信
客户端跟es之间的通信

3. es鉴权的常用方法

设置 Nginx 的反向代理
安装免费的 Security 插件

https://search-guard.com/
https://github.com/sscarduzio/elasticsearch-readonlyrest-plugin

X-Pack 的 Basic 版(从 ES 6.8 & ES 7.0 开始，Security 纳入 x-pack 的 Basic 版本中，免费使用一些基本的功能 https://www.elastic.co/what-is/elastic-stack-security)

最常用的是X-Pack ,使用的是简单认证模式

3.1 认证体系

认证体系的几种类型

提供用户名和密码
提供秘钥或 Kerberos 票据
Realms : X-Pack 中的认证服务
内置 Realms （免费）: File / Native (用户名密码保存在 Elasticsearch)
外部 Realms （收费）: LDAP / Active Directory / PKI / SAML / Kerberos

3.2 x-pack认证

3.2.1 开启并配置 X-Pack 的认证与鉴权

修改配置文件，打开认证于授权

bin/elasticsearch -E node.name=node0 -E cluster.name=geektime -E path.data=node0_data -E http.port=9200 -E xpack.security.enabled=true - E xpack.security.transport.ssl.enabled=true

创建默认的用户和分组

bin/elasticsearch-passwords interactive

当集群开启身份认证之后，配置 Kibana

3.2.2 默认用户和角色

用户	角色
elastic	Supper User
kibana	The user that is used by Kibana to connect and communicate with Elasticsearch.
logstash_system	The user that is used by Logstash when storing monitoring information in Elasticsearch.
beats_system	The user that the different Beats use when storing monitoring information in Elasticsearch.
apm_system	The user that the APM server uses when storing monitoring information in Elasticsearch.
Remote_monitoring_user	The user that is used by Metricbeat when collecting and storing monitoring information in Elasticsearch.

3.2.3 创建用户和角色

使用 Security API 创建用户

POST /_security/user/lsk
{"password": "password","roles": ["admin"],"full_name": "Crazy Zard","email":"541306829@qq.com","metadata": {"intelligence":7}
}

3.2.4 通过用户名和密码访问es

使用用户名和密码查询es集群

curl -XGET -u user:pass -H 'Content-Type: application/json' 'http://localhost:9200/_cluster/health?pretty'，

4. 参考文档

es官网

ES鉴权设计以及相关探讨

文章目录 1. es的鉴权设计2. es鉴权应用范围3. es鉴权的常用方法3.1 认证体系3.2 x-pack认证3.2.1 开启并配置 X-Pack 的认证与鉴权3.2.2 默认用户和角色3.2.3 创建用户和角色3.2.4 通过用户名和密码访问es 4. 参考文档鉴权，分别由鉴和权组成鉴： 表示…...

编程日记 2024/2/7 5:45:45

为什么SpringBoot胖Jar不好

公平地说，我有时会怀念 JavaEE 流行的日子。当然，当时的情况很复杂，但整个 JavaEE 平台设计合理，符合企业开发的需要。我可以很轻松地将当时的 JavaEE 应用服务器与现代 Kubernetes 架构进行比较，后者现在也有同样…...

编程日记 2024/2/7 5:42:42

Java学习笔记2024/2/6

练习三：验证码需求： 定义方法实现随机产生一个5位的验证码验证码格式： 长度为5 前四位是大写字母或者小写字母最后一位是数字 package com.angus.comprehensiveExercise; import java.util.Random; public class test3 {publ…...

编程日记 2024/2/7 5:41:41

2024 高级前端面试题之前端安全模块「精选篇」

该内容主要整理关于前端安全模块的相关面试题，其他内容面试题请移步至「最新最全的前端面试题集锦」查看。前端安全模块精选篇 1. 代码注入XSS如何攻击如何防御cookie 如何防范 XSS 攻击 2. 跨站请求伪造CSRF3. 浏览器同源策略 SOP4. 跨域资源共享 CORS5. 密码…...

编程日记 2024/2/7 5:40:40

SpringBoot Security安全认证框架初始化流程认证流程之源码分析

SpringBoot Security安全认证框架初始化流程&认证流程之源码分析以RuoYi-Vue前后端分离版本为例分析SpringBoot Security安全认证框架初始化流程&认证流程的源码分析目录 SpringBoot Security安全认证框架初始化流程&认证流程之源码分析一、SpringBoot Security安…...

编程日记 2024/2/7 5:38:39

2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测

2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测目录 2024美赛预测算法 | 回归预测 | Matlab基于RIME-LSSVM霜冰算法优化最小二乘支持向量机的数据多输入单输出回归预测预测效果基本介绍程序设计参考资料预测效…...

编程日记 2024/2/7 5:35:35

远程主机可能不符合 glibc 和 libstdc++ Vs Code 服务器的先决条件

vscode连接远程主机报错，原因官方已经公布过了，需要远程主机 glibc>2.28，所以Ubuntu18及以下版本没法再远程连接了，其他Linux系统执行ldd --version查看glibc版本自行判断。解决方案建议： 不要再想升级glibc了问题…...

编程日记 2024/2/7 5:31:31

备战蓝桥杯---数据结构与STL应用（进阶2）

本文将主要围绕有关map的今典应用展开： 下面我用图进行分析： 下面为AC代码： #include<bits/stdc.h> using namespace std; struct Point {int x,y;bool operator < (const Point & r) const {return x < r.x || ( x r.x &a…...

编程日记 2024/2/7 5:30:30

SpringBoot：多环境配置

多环境配置demo代码：点击查看LearnSpringBoot02 点击查看更多的SpringBoot教程方式一、多个properties文件配置注意：创建properties文件,命名规则：application-（环境名称） 示例：application-dev.proper…...

编程日记 2024/2/7 5:25:25

input框中添加一个 X（关闭/清空按钮）

要在输入框（<input> 元素）中添加一个 X（关闭/清空按钮），可以使用 CSS 和 JavaScript 实现。 HTML： <div class"input-container"><input type"text" id"myInput…...

编程日记 2024/2/7 5:23:23

Unity3d Shader篇（三）— 片元半兰伯特着色器解析

文章目录前言一、片元半兰伯特着色器是什么？1. 片元漫反射着色器的工作原理2. 片元半兰伯特着色器的优缺点优点：缺点： 3. 公式二、使用步骤1. Shader 属性定义2. SubShader 设置3. 渲染 Pass4. 定义结构体和顶点着色器函数5. 片元着色器函数…...

编程日记 2024/2/7 5:17:18

【vue3学习P5-P10】vue3语法；vue响应式实现

0、vue2和vue3对比框架版本API方式双向绑定原理domFragmentsTree-Shakingvue2选项式API（Options API）基于Object.defineProperty（监听）实现，不能双向绑定对象类型的数据【通过Object.defineProperty里面的set和get做…...

编程日记 2024/2/7 5:14:14

相机图像质量研究(3)图像质量测试介绍

系列文章目录相机图像质量研究(1)Camera成像流程介绍相机图像质量研究(2)ISP专用平台调优介绍相机图像质量研究(3)图像质量测试介绍相机图像质量研究(4)常见问题总结：光学结构对成像的影响--焦距相机图像质量研究(5)常见问题总结：光学结构对成…...

编程日记 2024/2/7 5:11:12

PaddleDetection学习5——使用Paddle-Lite在 Android 上实现实时的人脸检测（C++）

使用Paddle-Lite在 Android 上实现实时的人脸检测 1 环境准备2. 部署步骤2.1 下载Paddle-Lite-Demo2.2 运行face_detection_demo项目3 使用Opencv对后处理进行优化4 开启手机摄像头进行人脸检测1 环境准备参考前一篇在 Android 上使用Paddle-Lite实现实时的目标检测功能 2. …...

编程日记 2024/2/7 5:10:11

全套电气自动化样例图纸分享，使用SuperWorks自动化版免费设计软件！

今天给大家分享一套完备的电气自动化样例图纸，结构准确、内容清晰，适合初学者入门操作练习。整套图纸包含图纸目录、原理图、端子列表、连接列表、元件列表、接线图，具有较高的参考价值，请大家点击自行下载文件！ 1e8…...

编程日记 2024/2/7 5:06:07

带你实现用自己域名打开Tomcat

文章目录 Tomcat1.1、Tomcat 下载1.2、Tomcat 文件图解1.3、启动或关闭 Tomcat1.3.1、启动1.3.2、关闭程序2.1、修改端口号2.2、修改主机名称Tomcat 1.1、Tomcat 下载首先去Tomcat 官网下载找到我们需要下载的版本 1.2、To...

编程日记 2024/2/7 5:05:06

python coding with ChatGPT 打卡第18天| 二叉树：从中序与后序遍历序列构造二叉树、最大二叉树

相关推荐 python coding with ChatGPT 打卡第12天| 二叉树：理论基础 python coding with ChatGPT 打卡第13天| 二叉树的深度优先遍历 python coding with ChatGPT 打卡第14天| 二叉树的广度优先遍历 python coding with ChatGPT 打卡第15天| 二叉树：翻转…...

编程日记 2024/2/7 5:03:04

1.下列代码段中，存在编译错误的语句是(B C D) byte b1 1,b2 2,b3,b6,b8; final byte b4 4,b5 6,b7; b3 (b1 b2);/*语句1*/ b6 b4 b5 ; /*语句2*/ b8 (b1 b4);/*语句3*/ b7 (b2 b5);/*语句4*/ System.out.println(b3 b6);A: 语句2 B: 语句1 C: 语句3…...

编程日记 2024/2/7 5:02:03

【自定义序列化器】⭐️通过继承JsonSerializer和实现WebMvcConfigurer类完成自定义序列化

目录前言解决方案具体实现一、自定义序列化器二、两种方式指定作用域 1、注解 JsonSerialize() 2、实现自定义全局配置 WebMvcConfigurer 三、拓展 WebMvcConfigurer接口章末前言小伙伴们大家好，上次做了自定义对象属性拷贝&#x…...

编程日记 2024/2/7 5:00:02

AI-调查研究-01-正念冥想有用吗？对健康的影响及科学指南

点一下关注吧！！！非常感谢！！持续更新！！！ 🚀 AI篇持续更新中！（长期更新） 目前2025年06月05日更新到： AI炼丹日志-28 - Aud…...

编程新知 2026/2/8 5:11:39

eNSP-Cloud(实现本地电脑与eNSP内设备之间通信)

说明： 想象一下，你正在用eNSP搭建一个虚拟的网络世界，里面有虚拟的路由器、交换机、电脑（PC）等等。这些设备都在你的电脑里面“运行”，它们之间可以互相通信，就像一个封闭的小王国。但是&#…...

编程新知 2026/2/8 4:37:17

解决Ubuntu22.04 VMware失败的问题 ubuntu入门之二十八

现象1 打开VMware失败 Ubuntu升级之后打开VMware上报需要安装vmmon和vmnet，点击确认后如下提示最终上报fail 解决方法内核升级导致，需要在新内核下重新下载编译安装查看版本 $ vmware -v VMware Workstation 17.5.1 build-23298084$ lsb_release…...

编程新知 2026/1/24 10:07:40

Cilium动手实验室: 精通之旅---20.Isovalent Enterprise for Cilium: Zero Trust Visibility

Cilium动手实验室: 精通之旅---20.Isovalent Enterprise for Cilium: Zero Trust Visibility 1. 实验室环境1.1 实验室环境1.2 小测试 2. The Endor System2.1 部署应用2.2 检查现有策略 3. Cilium 策略实体3.1 创建 allow-all 网络策略3.2 在 Hubble CLI 中验证网络策略源3.3 …...

编程新知 2026/1/26 21:57:45

React Native在HarmonyOS 5.0阅读类应用开发中的实践

一、技术选型背景随着HarmonyOS 5.0对Web兼容层的增强，React Native作为跨平台框架可通过重新编译ArkTS组件实现85%以上的代码复用率。阅读类应用具有UI复杂度低、数据流清晰的特点。二、核心实现方案 1. 环境配置 （1）使用React Native…...

编程新知 2025/8/19 2:57:37

【决胜公务员考试】求职OMG——见面课测验1

2025最新版！！！6.8截至答题，大家注意呀！ 博主码字不易点个关注吧,祝期末顺利~~ 1.单选题(2分) 下列说法错误的是:（ B ） A.选调生属于公务员系统 B.公务员属于事业编 C.选调生有基层锻炼的要求 D…...

编程新知 2025/11/8 16:25:01

今日学习：Spring线程池|并发修改异常|链路丢失|登录续期|VIP过期策略|数值类缓存

文章目录优雅版线程池ThreadPoolTaskExecutor和ThreadPoolTaskExecutor的装饰器并发修改异常并发修改异常简介实现机制设计原因及意义使用线程池造成的链路丢失问题线程池导致的链路丢失问题发生原因常见解决方法更好的解决方法设计精妙之处登录续期登录续期常见实现方式特…...

编程新知 2026/1/27 16:41:02