Kyuubi项目JDBC认证配置指南-CSDN博客

本文链接：https://blog.csdn.net/gitblog_00176/article/details/148890713

Kyuubi项目JDBC认证配置指南

什么是Kyuubi的JDBC认证

Kyuubi作为一个分布式SQL查询引擎，提供了多种认证机制来确保系统安全。其中JDBC认证是一种基于数据库查询的身份验证方式，它通过执行预定义的SQL查询来验证用户凭据的有效性。当用户尝试连接Kyuubi服务时，系统会将用户名和密码作为参数传递给配置的SQL查询，如果查询返回非空结果集，则认证通过。

JDBC认证的工作原理

JDBC认证的核心流程如下：

用户提供用户名和密码
Kyuubi将这些凭证替换到预定义的SQL查询中
执行查询并检查结果集
如果结果集不为空，则认证成功

这种机制特别适合已经拥有用户数据库的系统，可以无缝集成现有的用户认证体系。

配置JDBC认证的详细步骤

1. 准备工作

首先需要确保JDBC驱动可用。将对应数据库的JDBC驱动JAR文件放置在$KYUUBI_HOME/jars目录下，这样Kyuubi服务器就能在类路径中找到它。

2. 基础配置

编辑$KYUUBI_HOME/conf/kyuubi-defaults.conf文件，添加以下基本配置：

# 启用JDBC认证方式
kyuubi.authentication=JDBC

# 指定JDBC驱动类
kyuubi.authentication.jdbc.driver.class=com.mysql.jdbc.Driver

# 配置数据库连接URL
kyuubi.authentication.jdbc.url=jdbc:mysql://127.0.0.1:3306/auth_db

# 数据库连接用户名和密码
kyuubi.authentication.jdbc.user=db_username
kyuubi.authentication.jdbc.password=db_password

# 认证查询SQL
kyuubi.authentication.jdbc.query=SELECT 1 FROM auth_table WHERE user=${user} AND passwd=MD5(CONCAT(salt,${password}))

3. SQL查询编写规范

认证SQL查询必须遵循以下规则：

必须以SELECT子句开头
可以使用${user}和${password}作为占位符
查询应设计为：当凭证有效时返回结果，无效时不返回结果

高级应用场景

使用内存数据库进行认证

Kyuubi支持使用H2等内存数据库进行认证，无需部署独立的数据库服务。这在以下场景特别有用：

临时认证需求
开发测试环境
基于令牌(token)的认证

示例配置：

kyuubi.authentication=JDBC
kyuubi.authentication.jdbc.driver.class=org.h2.Driver
kyuubi.authentication.jdbc.url=jdbc:h2:mem:
kyuubi.authentication.jdbc.user=no_user
kyuubi.authentication.jdbc.query=SELECT 1 FROM ( \
  SELECT ${user} as username, 'secret_key' as secret_key, \
  SUBSTRING(${password}, 0, 12) as expire_time, \
  SUBSTRING(${password}, 13) as signed \
  ) WHERE signed = RAWTOHEX(HASH('MD5', CONCAT(secret_key, username, expire_time))) \
  AND PARSEDATETIME(expire_time,'yyyyMMddHHmm') > NOW()

这个配置实现了一个带有时效性的令牌认证机制：