当前位置: 开发笔记 > 数据库 > 正文

hive任务提交的相关权限认证详析

作者：彽丶蜩哋嫙侓 | 来源：互联网 | 2017-05-12 15:27

最近在研究Hue，遇到一个问题，在HiveEditor写一个HQL，提交后会报权限错误，类似这样的Authorizationfailed:NoprivilegeSelectfoundforinputs&n..

最近在研究Hue，遇到一个问题，在Hive Editor写一个HQL，提交后会报权限错误，类似这样的

Authorization failed:No privilege 'Select' found for inputs {database:xxx, table:xxx, columnName:xxx}. Use show grant to get more details.

Hue的登录用户是hadoop,使用cli方式查询的时候，是没问题的，但是使用Hue连接HiveServer2的方式，就查询不了对应的表了，排除Hue的干扰，使用Beeline来连接HiveServer2，同样报权限的错误，堆栈信息如下图

根据堆栈信息大概梳理了下源码(只列出比较重要的代码)，Hive提交SQL的权限验证流程如下

Driver.compile(String command, boolean resetTaskIds){ if (HiveConf.getBoolVar(conf, HiveConf.ConfVars.HIVE_AUTHORIZATION_ENABLED)) { try { perfLogger.PerfLogBegin(LOG, PerfLogger.DO_AUTHORIZATION); //进行权限校验 doAuthorization(sem); } } Driver.doAuthorization(BaseSemanticAnalyzer sem){ //判断op的操作类型为QUERY if (op.equals(HiveOperation.CREATETABLE_AS_SELECT) || op.equals(HiveOperation.QUERY)) { if (cols != null && cols.size() > 0) { //进行更具体的验证 ss.getAuthorizer().authorize(tbl, null, cols, op.getInputRequiredPrivileges(), null); } } } BitSetCheckedAuthorizationProvider.authorize(Table table, Partition part, List columns,Privilege[] inputRequiredPriv, Privilege[] outputRequiredPriv){ //验证用户对DB和Table的权限 authorizeUserDBAndTable(table, inputRequiredPriv, outputRequiredPriv,inputCheck,outputCheck) //验证用户对Table中column的权限 for (String col : columns) { PrincipalPrivilegeSet partColumnPrivileges = hive_db .get_privilege_set(HiveObjectType.COLUMN, table.getDbName(),table.getTableName(),partValues, col,this.getAuthenticator().getUserName(), this.getAuthenticator().getGroupNames()); authorizePrivileges(partColumnPrivileges, inputRequiredPriv, inputCheck2, outputRequiredPriv, outputCheck2); } }

Hive的权限验证首先会调用authorizeUserDBAndTable验证用户是否对访问的DB和Table有访问权限，对应到MetaStore的DB_PRIVS和TBL_PRIVS表，在进行验证的时候，会通过thrift与HiveMetaStore进程进行交互来获取MetaStore库中对应表的相关信息。如果用户对更大粒度的资源有访问权限，则会直接返回，不会再继续进行更细粒度的验证，也就是说如果用户对DB有相关的权限，则不会继续验证对Table和Column的访问权限。

查看了下DB_PRIVS表，hadoop用户对访问的数据库是有Select权限的，所以再传统CLI模式下访问是没有问题的。看上述代码也都是在预料之中，因为实际上CLI模式和HiveServer模式的权限验证是一套代码。决定remote debug下，进而发现this.getAuthenticator().getUserName()的值为hive，也即是启动HiveServer2的用户，而不是提交SQL的用户hadoop,顺藤摸瓜，找到了设置authenticator相关属性的代码

SessionState.start(SessionState startSs) { //实例化默认的HadoopDefaultAuthenticator,方法内部，，使用ReflectionUtils反射加载类的时候，进而调用了HadoopDefaultAuthenticator.setConf方法 startSs.authenticator=HiveUtils.getAuthenticator(startSs.getConf(),HiveConf.ConfVars.HIVE_AUTHENTICATOR_MANAGER); } HadoopDefaultAuthenticator.setConf(Configuration conf){ ugi = ShimLoader.getHadoopShims().getUGIForConf(conf); } HadoopShimsSecure.getUGIForConf(Configuration conf) throws IOException { return UserGroupInformation.getCurrentUser(); } UserGroupInformation.getCurrentUser() throws IOException { AccessControlContext cOntext= AccessController.getContext(); Subject subject = Subject.getSubject(context); //HiveServer刚启动的时候,subject为空,调用getLoginUser if (subject == null || subject.getPrincipals(User.class).isEmpty()) { return getLoginUser(); } else { return new UserGroupInformation(subject); } } UserGroupInformation.getLoginUser() { if (loginUser == null) { try { Subject subject = new Subject(); LoginContext login; if (isSecurityEnabled()) { login = newLoginContext(HadoopConfiguration.USER_KERBEROS_CONFIG_NAME, subject, new HadoopConfiguration()); } else { login = newLoginContext(HadoopConfiguration.SIMPLE_CONFIG_NAME, subject, new HadoopConfiguration()); } login.login(); loginUser = new UserGroupInformation(subject); loginUser.setLogin(login); loginUser.setAuthenticationMethod(isSecurityEnabled() ? AuthenticationMethod.KERBEROS : AuthenticationMethod.SIMPLE); loginUser = new UserGroupInformation(login.getSubject()); String fileLocation = System.getenv(HADOOP_TOKEN_FILE_LOCATION); if (fileLocation != null) { Credentials cred = Credentials.readTokenStorageFile( new File(fileLocation), conf); loginUser.addCredentials(cred); } loginUser.spawnAutoRenewalThreadForUserCreds(); } catch (LoginException le) { LOG.debug("failure to login", le); throw new IOException("failure to login", le); } if (LOG.isDebugEnabled()) { LOG.debug("UGI loginUser:"+loginUser); } } return loginUser; }

推荐阅读

sql
如何在Hive中合理配置Map和Reduce任务数量以优化不同场景下的性能表现

在Hive中合理配置Map和Reduce任务的数量对于优化不同场景下的性能至关重要。本文探讨了如何控制Hive任务中的Map数量，分析了当输入数据超过128MB时是否会自动拆分，以及Map数量是否越多越好的问题。通过实际案例和实验数据，本文提供了具体的配置建议，帮助用户在不同场景下实现最佳性能。 ... [详细]

蜡笔小新 2024-10-31 14:33:41
数据库
基于.NET框架的分层架构实践（六）：依赖注入与IoC容器的设计和实现详解

在基于.NET框架的分层架构实践中，为了实现各层之间的松散耦合，本文详细探讨了依赖注入（DI）和控制反转（IoC）容器的设计与实现。通过合理的依赖管理和对象创建，确保了各层之间的单向调用关系，从而提高了系统的可维护性和扩展性。此外，文章还介绍了几种常见的IoC容器实现方式及其应用场景，为开发者提供了实用的参考。 ... [详细]

蜡笔小新 2024-11-02 11:16:33
mysql
SQL Server开发技巧：修改表结构后的视图批量更新方法与实践

SQL Server开发技巧：修改表结构后的视图批量更新方法与实践 ... [详细]

蜡笔小新 2024-11-01 15:47:59
json
智能制造数据综合分析与应用解决方案

在智能制造领域，生产数据通过先进的采集设备收集，并利用时序数据库或关系型数据库进行高效存储。这些数据经过处理后，通过可视化数据大屏呈现，为生产车间、生产控制中心以及管理层提供实时、精准的信息支持，助力不同应用场景下的决策优化和效率提升。 ... [详细]

蜡笔小新 2024-10-31 16:58:11
mysql
HBase在金融大数据迁移中的应用与挑战

随着最后一台设备的下线，标志着超过10PB的HBase数据迁移项目顺利完成。目前，新的集群已在新机房稳定运行超过两个月，监控数据显示，新集群的查询响应时间显著降低，系统稳定性大幅提升。此外，数据消费的波动也变得更加平滑，整体性能得到了显著优化。 ... [详细]

蜡笔小新 2024-10-31 14:06:06
mysql
技术日志：深入探讨Spark Streaming与Spark SQL的融合应用

技术日志：深入探讨Spark Streaming与Spark SQL的融合应用 ... [详细]

蜡笔小新 2024-10-30 14:20:53
odbc
千万级数据表中高效去除重复记录的方法与策略

在处理历史交易表时，发现存在部分重复交易记录，需进行数据清理。为解决此问题，考虑构建一个临时表，并采用SQL Server ODBC工具进行数据的导入与导出操作，以实现高效去重。此外，建议结合索引优化和批处理技术，进一步提升数据处理效率和系统性能。 ... [详细]

蜡笔小新 2024-10-30 11:39:23
hbase
在Linux系统中配置环境变量以切换不同版本Python的方法与实践

在Linux系统中，原本已安装了多个版本的Python 2，并且还安装了Anaconda，其中包含了Python 3。本文详细介绍了如何通过配置环境变量，使系统默认使用指定版本的Python，以便在不同版本之间轻松切换。此外，文章还提供了具体的实践步骤和注意事项，帮助用户高效地管理和使用不同版本的Python环境。 ... [详细]

蜡笔小新 2024-10-30 09:39:09
数据库
优化Oracle数据库日志功能的关闭方法与实践

在优化Oracle数据库日志功能的过程中，关闭不必要的日志记录是一项重要任务。本文探讨了Oracle 11g中日志路径的配置和管理，特别是针对常用的警报日志（alert log）。通过合理配置 `alert_$ORACLE_SID.log` 文件，可以有效减少日志文件的大小和提高系统性能。此外，文章还介绍了如何通过调整参数和使用脚本自动化日志管理，进一步提升数据库的稳定性和维护效率。 ... [详细]

蜡笔小新 2024-10-29 16:52:57
mysql
NoSQL 数据查询与检索技术解析

NoSQL数据库，即非关系型数据库，有时也被称作Not Only SQL，是一种区别于传统关系型数据库的管理系统。这类数据库设计用于处理大规模、高并发的数据存储与查询需求，特别适用于需要快速读写大量非结构化或半结构化数据的应用场景。NoSQL数据库通过牺牲部分一致性来换取更高的可扩展性和性能，支持分布式部署，能够有效应对互联网时代的海量数据挑战。 ... [详细]

蜡笔小新 2024-10-28 18:13:15
json
在Python 3环境中实现离线模块安装的方法与技巧

在Python 3环境中，当无法连接互联网时，可以通过下载离线模块包来实现模块的安装。具体步骤包括：首先从PyPI网站下载所需的模块包，然后将其传输到目标环境，并使用`pip install`命令进行本地安装。此方法不仅适用于单个模块，还支持依赖项的批量安装，确保开发环境的完整性和一致性。 ... [详细]

蜡笔小新 2024-10-28 15:57:25
hbase
优化后的标题：利用Hive分析用户最长连续登录天数

本文介绍了如何使用Hive分析用户最长连续登录天数的方法。首先对数据进行排序，然后计算相邻日期之间的差值，接着按用户ID分组并累加连续登录天数，最后求出每个用户的最大连续登录天数。此外，还探讨了该方法在其他领域的应用，如股票市场中最大连续涨停天数的分析。 ... [详细]

蜡笔小新 2024-10-27 21:47:17
数据库
如何高效处理大规模数据报表的分页展示，有哪些优化方法和技巧？

在探讨如何高效处理大规模数据报表的分页展示之前，首先需要明确导致报表加载缓慢的主要原因。通常情况下，这主要是由于两个方面：一是查询条件过于宽泛，使得数据库返回的结果集包含数百万甚至更多的记录；二是前端渲染性能不足，无法高效处理大量数据。为了优化这一过程，可以从以下几个方面入手：优化查询条件，减少不必要的数据返回；采用分页查询技术，每次仅加载所需的数据；利用缓存机制，减少对数据库的频繁访问；提升前端渲染效率，使用虚拟滚动等技术提高用户体验。 ... [详细]

蜡笔小新 2024-11-01 11:03:18
mysql
深入解析：Explain命令的应用与字段详解

深入解析：Explain命令的应用与字段详解 ... [详细]

蜡笔小新 2024-10-31 20:06:25
mysql
使用C语言在命令行中操作MySQL数据库的方法与技巧

在Ubuntu系统中，由于预装了MySQL，因此无需额外安装。通过命令行登录MySQL时，可使用 `mysql -u root -p` 命令，并按提示输入密码。常见问题包括：1. 错误 1045 (28000)：访问被拒绝，这通常是由于用户名或密码错误导致。为确保顺利连接，建议检查MySQL服务是否已启动，并确认用户名和密码的正确性。此外，还可以通过配置文件调整权限设置，以增强安全性。 ... [详细]

蜡笔小新 2024-10-31 17:57:01

彽丶蜩哋嫙侓

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章