Apache Zeppelin安全认证：基于Shiro的完整配置指南

2026-02-04 04:30:41作者：魏侃纯Zoe

一、Shiro安全框架概述

Apache Shiro是一个功能强大且易于使用的Java安全框架，为Apache Zeppelin提供完整的认证授权解决方案。它主要包含以下核心功能：

身份认证：验证用户身份
授权控制：控制用户访问权限
会话管理：管理用户会话状态
加密功能：提供数据加密支持

在Zeppelin中启用Shiro认证后，用户需要提供有效凭证才能访问笔记本系统，有效保护数据资产安全。

二、基础安全配置步骤

2.1 启用Shiro认证

复制模板配置文件：

cp conf/shiro.ini.template conf/shiro.ini

编辑shiro.ini文件，这是Shiro的核心配置文件，采用INI格式编写

2.2 配置WebSocket安全

修改conf/zeppelin-site.xml文件，确保以下配置：

<property>
  <name>zeppelin.anonymous.allowed</name>
  <value>false</value>
</property>

2.3 重启Zeppelin服务

bin/zeppelin-daemon.sh restart

2.4 用户登录配置

在shiro.ini的[users]部分定义用户凭证：

[users]
admin = admin123, admin
analyst = analyst123, analyst
viewer = viewer123, viewer

格式说明：用户名 = 密码, 角色1, 角色2,...

三、高级安全配置选项

3.1 角色与权限管理

在[roles]部分定义角色及其权限：

[roles]
admin = *
analyst = notebook:create,notebook:execute
viewer = notebook:read

3.2 URL访问控制

在[urls]部分配置基于URL的访问控制：

[urls]
/api/notebook/** = authc, roles[admin,analyst]
/api/config/** = authc, roles[admin]
/** = authc

3.3 多角色/用户授权配置

使用自定义过滤器实现复杂授权逻辑：

[main]
anyofrolesuser = org.apache.zeppelin.utils.AnyOfRolesUserAuthorizationFilter

[urls]
/api/interpreter/** = authc, anyofrolesuser[admin, user1]

四、集成企业级认证系统

4.1 LDAP集成配置

ldapRealm = org.apache.zeppelin.realm.LdapRealm
ldapRealm.contextFactory.url = ldap://ldap.example.com:389
ldapRealm.userDnTemplate = uid={0},ou=users,dc=example,dc=com

4.2 Active Directory集成

activeDirectoryRealm = org.apache.zeppelin.realm.ActiveDirectoryGroupRealm
activeDirectoryRealm.url = ldap://ad.example.com:389
activeDirectoryRealm.searchBase = CN=Users,DC=example,DC=com

4.3 PAM认证集成

[main]
pamRealm = org.apache.zeppelin.realm.PamRealm
pamRealm.service = sshd

五、安全增强配置

5.1 安全Cookie设置

[main]
cookie = org.apache.shiro.web.servlet.SimpleCookie
cookie.name = JSESSIONID
cookie.secure = true
cookie.httpOnly = true
sessionManager.sessionIdCookie = $cookie

5.2 敏感信息保护

限制敏感API访问：

[urls]
/api/credential/** = authc, roles[admin]
/api/configurations/** = authc, roles[admin]

六、最佳实践建议

密码安全：避免在配置文件中使用明文密码，建议使用Hadoop Credential Store
最小权限原则：为用户分配完成任务所需的最小权限
定期审计：定期检查用户权限分配情况
多因素认证：考虑集成多因素认证增强安全性
日志监控：启用并监控认证日志

通过合理配置Shiro，可以构建既安全又灵活的Zeppelin认证授权体系，满足从开发环境到生产环境的不同安全需求。

zeppelin

Web-based notebook that enables data-driven, interactive data analytics and collaborative documents with SQL, Scala and more.

项目地址：https://gitcode.com/gh_mirrors/zeppelin2/zeppelin

登录后查看全文

项目优选

收起

kernel

deepin linux kernel

docs

OpenHarmony documentation | OpenHarmony开发者文档

🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer（第 2 版）》、《程序员面试金典（第 6 版）》题解

🎉 (RuoYi)官方仓库基于SpringBoot，Spring Security，JWT，Vue3 & Vite、Element Plus 的前后端分离权限管理系统

Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台，包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分，采用java语言实现，可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用

Java

gitea

喝着茶写代码！最易用的自托管一站式代码托管平台，包含Git托管，代码审查，团队协作，软件包和CI/CD。

ops-math

本项目是CANN提供的数学类基础计算算子库，实现网络在NPU上加速计算。

🎉 基于Spring Boot、Spring Cloud & Alibaba、Vue3 & Vite、Element Plus的分布式前后端分离微服务架构权限管理系统