对于hadoop安全机制一直是比较弱的它只能防止好人犯错误，不能防止坏人干坏事

这是总体的情况，目前就说说hadoop2.0的

下面重点介绍YARN中的各类Token及其作用有兴趣的读者可自行了解HDFS中Token的种类及其作用。

Hadoop YARN的授权机制是通过访问控制列表（ACL）实现的按照授权实体，可分为队列访問控制列表、应用程序访问控制列表和服务访问控制列表下面分别对其进行介绍。

在正式介绍YARN授权机制之前先要了解HDFS的POSIX风格的文件访問控制机制，这与当前Unix的一致即将权限授予对象分为用户、同组用户和其他用户，且可单独为每类对象设置一个文件的读、写和可执行權限此外，用户和用户组的关系是插拔式的默认情况下共用Unix/Linux下的用户与用户组对应关系，这与YARN是一致的

为了方便管理集群中的用户，YARN将用户/用户组分成若干队列并可指定每个用户/用户组所属的队列。通常而言每个队列包含两种权限：提交应用程序权限和管理应用程序权限（比如杀死任意应用程序），这些是通过配置文件etc/hadoop/mapred-queue-acls.xml设置的

应用程序访问控制机制的设置方法是在客户端设置为每类ApplicationAccessType（目前只有VIEW_APP囷MODIFY_APP两种类型）设置对应的用户列表，这些信息传递到ResourceManager端后由它维护和使用。通常而言为了用户使用方便，应用程序可对外提供一些特殊的可直接设置的参数（而不是通过API设置）以MapReduce作业为例，用户可以通过参数mapreduce.job.acl-view-job和mapreduce.job.acl-modify-job为每个作业单独设置查看和修改权限需要注意的是，默認情况下作业拥有者和超级用户（可配置）拥有以上两种权限且不可以修改。

服务访问控制是Hadoop提供的最原始的授权机制它用于确保只囿那些经过授权的客户端才能访问对应的服务。比如可通过为ApplicationClientProtocol协议设置访问控制列表以指定哪些用户可以向集群中提交应用程序

服务访問控制是通过控制各个服务之间的通信协议实现的，它通常发生在其他访问控制机制之前比如文件权限检查、队列权限检查等。