HBase的用户机制和Hadoop的用户机制是一样的。但对刚接触的人来说，相当的隐蔽，启动HBase不用设置用户名、密码，连接HBase也不需要设置用户名、密码。但HBase（实质上是Hadoop）提供了默认的用户来执行操作。

1. 超级用户
   如果没有特意配置，那么HBase会选择启动HBase的系统用户作为超级用户。如果需要改变超级用户，可通过修改hbase-site.xml来配置，加入hbase.superuser。

<property>
  <name>hbase.superuser</name>
  <value>admin</value>
</property>

1. 默认用户
   默认用户也类似，在没有特意配置时，HBase会选择当前的系统用户作为HBase的用户，改变默认用户隐藏的比较深，我们从代码来看。

分析源码

在创建Connection时，会判断是否已经创建了用户，如果没有，会调用LoginContext的login()方法来创建。中间的调用就直接跳过了，想详细看的可以参照以下堆栈信息。

在login方法中，按顺序反射调用了LOGIN_METHOD（login()）和COMMIT_METHOD（commit()），中间啰嗦的代码就…跳过了，抓住重点看：

public void login() throws LoginException {
    ...
    try {
        // 分别反射调用了login和commit方法
        invokePriv(LOGIN_METHOD);
        invokePriv(COMMIT_METHOD);
        ...
    } catch (LoginException le) {
        ...
    }
}

invokePriv方法是invoke方法的带权限执行，主要看invoke方法。在invoke方法中，遍历module stack中的元素，对里面的每个元素反射执行login和commit方法。Module Stack中有两个元素，UnixLoginModule和UserGroupInformation$HadoopLoginModule。实际执行的顺序就是：

1. UnixLoginModule#login
2. UserGroupInformation$HadoopLoginModule#login
3. UnixLoginModule#commit
4. UserGroupInformation$HadoopLoginModule#commit

private void invoke(String methodName) throws LoginException {
    for (int i = moduleIndex; i < moduleStack.length; i++, moduleIndex++) {
        try {
            int mIndex = 0;
            Method[] methods = null;
            // 获取login module的methods
            if (moduleStack[i].module != null) {
                methods = moduleStack[i].module.getClass().getMethods();
            } else {
                // 如果login module还没创建，就反射创建一个，再获取login module的methods
                ...
            }

            // 遍历找到对应的方法
            for (mIndex = 0; mIndex < methods.length; mIndex++) {
                if (methods[mIndex].getName().equals(methodName)) {
                    break;
                }
            }

            // 主要就是这里，反射调用了方法名为方法参数methodName的无参方法
            Object[] args = { };
            boolean status = ((Boolean)methods[mIndex].invoke
                            (moduleStack[i].module, args)).booleanValue();

            if (status == true) {
                // 成功后的处理
                ...
            } else {
                // 失败了的处理
                ...
            }
        } catch (Exception e) {
            // 各种Exception处理
            ...
        }
    }

    // 收尾工作，处理Error，清空状态
    ...
}

1. UnixLoginModule的login方法从系统中获取到了用户的登录信息

public boolean login() throws LoginException {
    ...
    ss = new UnixSystem();
    if (ss == null) {
        ...
    } else {
        userPrincipal = new UnixPrincipal(ss.getUsername());
        ...
        return true;
    }
}

1. UserGroupInformation$HadoopLoginModule的login是空方法，只return了true

public boolean login() throws LoginException {
    if(UserGroupInformation.LOG.isDebugEnabled()) {
        UserGroupInformation.LOG.debug("hadoop login");
    }

    return true;
}

1. UnixLoginModule的commit方法把获取到的登录信息写到了subject里

public boolean commit() throws LoginException {
    if (succeeded == false) {
        ...
        return false;
    } else {
        if (subject.isReadOnly()) {
            throw new LoginException
                ("commit Failed: Subject is Readonly");
        }
        // 把用户名塞进subject
        if (!subject.getPrincipals().contains(userPrincipal))
            subject.getPrincipals().add(userPrincipal);
        // 把其他参数塞进subject
        ...
        commitSucceeded = true;
        return true;
    }
}

写完之后subject里是这样的，多了用户和组的信息。

1. UserGroupInformation$HadoopLoginModule的commit方法，分3种情况来获取用户。有KERBEROS，取KERBEROS的用户信息；有HADOOP_USER_NAME，取HADOOP_USER_NAME的用户信息；都没有，就取Unix/Linux系统的用户信息，就是第3步commit到subject中的用户信息。

public boolean commit() throws LoginException {
    if(!this.subject.getPrincipals(User.class).isEmpty()) {
        return true;
    } else {
        Principal user = null;

        // 如果启用了KERBEROS
        if(UserGroupInformation.isAuthenticationMethodEnabled(
              UserGroupInformation.AuthenticationMethod.KERBEROS)) {
            user = this.getCanonicalUser(KerberosPrincipal.class);
        }


        if(!UserGroupInformation.isSecurityEnabled() && user == null) {
            // 从系统环境变量里找HADOOP_USER_NAME
            String envUser = System.getenv("HADOOP_USER_NAME");
            if(envUser == null) {
                // 从Java变量里找HADOOP_USER_NAME
                envUser = System.getProperty("HADOOP_USER_NAME");
            }

            user = envUser == null?null:new User(envUser);
        }

        // 实在找不到了，就用系统的用户信息
        if(user == null) {
            user = this.getCanonicalUser(UserGroupInformation.OS_PRINCIPAL_CLASS);
            ...
        }

        // 把User实例塞进subject
        if(user != null) {
            this.subject.getPrincipals().add(new User(((Principal)user).getName()));
            return true;
        } else {
            ...
        }
    }
}

Commit执行完以后，User实例就创建完成了，可以看到User实例中只有name。

修改用户

知道了HBase是如何获取用户信息的，就可以相应的改变用户了。
根据UserGroupInformation$HadoopLoginModule的commit中获取用户的3种方法，就可分3种情况修改用户：

• KERBEROS
  改变KERBEROS用户（运维比较复杂，不在考虑范围）。

• 系统用户
  通过切换操作系统的用户来完成。

• HADOOP_USER_NAME
  通过设置System环境变量改变用户，需要重启进程才会生效。

  export HADOOP_USER_NAME=admin
  

  通过设置System Properties改变用户，需要在Connection创建之前设置，这里的System指的是JavaVM。

  System.getProperties().setProperty("HADOOP_USER_NAME", "admin");
  

举例来说，masa用户是没有权限的，admin用户是有权限的。使用默认用户masa访问集群，执行这段代码时，抛出了Exception，原因是没有权限。

Configuration configuration = HBaseConfiguration.create();
HTable table = new HTable(configuration, TableName.valueOf("masa_test"));
ResultScanner scanner = table.getScanner(new Scan());
System.out.println("get scanner " + scanner);

Exception in thread "main" org.apache.hadoop.hbase.security.AccessDeniedException: org.apache.hadoop.hbase.security.AccessDeniedException: Insufficient permissions for user ‘masa',action: scannerOpen, tableName:liehutest, family:f.
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.authorizeAccess(RangerAuthorizationCoprocessor.java:525)
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:919)
at org.apache.ranger.authorization.hbase.RangerAuthorizationCoprocessor.preScannerOpen(RangerAuthorizationCoprocessor.java:854)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$50.call(RegionCoprocessorHost.java:1284)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost$RegionOperation.call(RegionCoprocessorHost.java:1673)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperation(RegionCoprocessorHost.java:1748)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.execOperationWithResult(RegionCoprocessorHost.java:1722)
at org.apache.hadoop.hbase.regionserver.RegionCoprocessorHost.preScannerOpen(RegionCoprocessorHost.java:1279)
at org.apache.hadoop.hbase.regionserver.RSRpcServices.scan(RSRpcServices.java:2252)
at org.apache.hadoop.hbase.protobuf.generated.ClientProtos$ClientService$2.callBlockingMethod(ClientProtos.java:32205)
at org.apache.hadoop.hbase.ipc.RpcServer.call(RpcServer.java:2114)
at org.apache.hadoop.hbase.ipc.CallRunner.run(CallRunner.java:101)
at org.apache.hadoop.hbase.ipc.RpcExecutor.consumerLoop(RpcExecutor.java:130)
at org.apache.hadoop.hbase.ipc.RpcExecutor$1.run(RpcExecutor.java:107)
at java.lang.Thread.run(Thread.java:745)

在任务执行之前设置用户名，就可以执行成功了。

System.getProperties().setProperty("HADOOP_USER_NAME", "admin");
Configuration configuration = HBaseConfiguration.create();
HTable table = new HTable(configuration, TableName.valueOf("masa_test"));
ResultScanner scanner = table.getScanner(new Scan());
System.out.println("get scanner " + scanner);

get scanner org.apache.hadoop.hbase.client.ClientScanner@dd8ba08
Process finished with exit code 0

-END-