RocketMQ权限控制

最新推荐文章于 2024-06-20 19:50:41 发布
最新推荐文章于 2024-06-20 19:50:41 发布
阅读量8.9k 收藏 20
点赞数 3
文章标签: java
原文链接:https://my.oschina.net/mingxungu/blog/3083998
版权

RocketMQ作为一款优秀的中间件,应用领域非常广泛,金融、电商、电信、医疗、社科、安保等不同的领域都有其大规模的应用,无疑安全性很受质疑,因为内部没有安全相关的业务模块,消息的发送和消费得不到很好的安全管控需要业务方自己去封装安全模块,无形中增加了使用成本。在RocketMQ4.4.0版本升级中加入了ACL权限管控,这个功能的完善直接推动了RocketMQ在各个领域的推广使用,特别是金融、电商、安保等安全要求较高的领域。

1、简单使用

1.1、ACL是什么

ACL是access control list的简称,俗称访问控制列表。访问控制,基本上会涉及到用户、资源、权限、角色等概念,那在RocketMQ中上述会对应哪些对象呢?

用户:用户是访问控制的基础要素,RocketMQ ACL必然也会引入用户的概念,即支持用户名、密码。 资源:需要保护的对象,消息发送涉及的Topic、消息消费涉及的消费组,应该进行保护,故可以抽象成资源。 权限:针对资源,能进行的操作。 角色:RocketMQ中,只定义两种角色:是否是管理员。

1.2、RocketMQ中配置ACL

acl默认的配置文件名:plain_acl.yml,需要放在${ROCKETMQ_HOME}/store/config目录下

需要使用acl必须在服务端开启此功能,在Broker的配置文件中配置,aclEnable = true开启此功能

配置plain_acl.yml文件

globalWhiteRemoteAddresses:
- 10.10.15.*
- 192.168.0.*

accounts:
- accessKey: RocketMQ
  secretKey: 12345678
  whiteRemoteAddress:
  admin: false
  defaultTopicPerm: DENY
  defaultGroupPerm: SUB
  topicPerms:
  - topicA=DENY
  - topicB=PUB|SUB
  - topicC=SUB
  groupPerms:
  # the group should convert to retry topic
  - groupA=DENY
  - groupB=PUB|SUB
  - groupC=SUB

- accessKey: rocketmq2
  secretKey: 12345678
  whiteRemoteAddress: 192.168.1.*
  # if it is admin, it could access all resources
  admin: true

下面我们介绍一下plain_acl.yml文件中相关的参数含义及使用

字段 取值 含义
globalWhiteRemoteAddresses *;192.168.*.*;192.168.0.1 全局IP白名单
accessKey 字符串 Access Key 用户名
secretKey 字符串 Secret Key 密码
whiteRemoteAddress *;192.168.*.*;192.168.0.1 用户IP白名单
admin true;false 是否管理员账户
defaultTopicPerm DENY;PUB;SUB;PUB|SUB 默认的Topic权限
defaultGroupPerm DENY;PUB;SUB;PUB|SUB 默认的ConsumerGroup权限
topicPerms topic=权限 各个Topic的权限
groupPerms group=权限 各个ConsumerGroup的权限

权限标识符的含义

权限 含义
DENY 拒绝
ANY PUB 或者 SUB 权限
PUB 发送权限
SUB 订阅权限

处理流程

特殊的请求例如 UPDATE_AND_CREATE_TOPIC 等,只能由 admin 账户进行操作;

对于某个资源,如果有显性配置权限,则采用配置的权限;如果没有显性配置权限,则采用默认的权限

RocketMQ的权限控制存储的默认实现是基于yml配置文件。用户可以动态修改权限控制定义的属性,而不需重新启动Broker服务节点

如果ACL与高可用部署(Master/Slave架构)同时启用,那么需要在Broker Master节点的${ROCKETMQ_HOME}/store/conf/plain_acl.yml配置文件中 设置全局白名单信息,即为将Slave节点的ip地址设置至Master节点plain_acl.yml配置文件的全局白名单中

1.3、代码示例

1.3.1、生产者代码

public class AclProducer {
    public static void main(String[] args) throws MQClientException, InterruptedException {
        DefaultMQProducer producer = new DefaultMQProducer("please_rename_unique_group_name", getAclRPCHook());
        producer.setNamesrvAddr("10.10.15.246:9876;10.10.15.247:9876");
        producer.start();
        for (int i = 0; i < 10; i++) {
            try {
                Message msg = new Message("topicA" ,"TagA" , ("Hello RocketMQ " + i).getBytes(RemotingHelper.DEFAULT_CHARSET));
                SendResult sendResult = producer.send(msg);
                System.out.printf("%s%n", sendResult);
            } catch (Exception e)
最低0.47元/天 解锁文章
chongshui129727
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
快速学习-RocketMQ权限控制
逍遥云恋
09-18 1475
权限控制 1.权限控制特性介绍 权限控制(ACL)主要为RocketMQ提供Topic资源级别的用户访问控制。用户在使用RocketMQ权限控制时,可以在Client客户端通过 RPCHook注入AccessKey和SecretKey签名;同时,将对应的权限控制属性(包括Topic访问权限、IP白名单和AccessKey和SecretKey签名等)设置在distribution/conf/plain_acl.yml的配置文件中。Broker端对AccessKey所拥有的权限进行校验,校验不过,抛出异常;
Apache RocketMQ 发布 v4.4.0,新添权限控制和消息轨迹特性 ...
weixin_33893473的博客
01-28 204
近日,Apache RocketMQ 发布了 v4.4.0,该版本主要增加了权限控制(ACL)和消息轨迹(Message Trace)两大特性,并做了8项优化,和修复了4处bug。 权限控制(ACL) 该特性主要为 RocketMQ提供权限访问控制。其中,用户可以通过yaml配置文件来定义权限访问的相关属性,包括白名单IP地址、用户的AK/SK访问秘钥对...
RocketMQ介绍
最新发布
迷失蒲公英
06-20 943
Apache Alibaba RocketMQ是阿里巴巴开源的一个消息中间件,在阿里内部历经了双十一等很多高并发场景的考验,能够处理亿万级别的消息。2016年开源后捐赠给Apache,现在是Apache的一个顶级项目。 由Java语言开发,底层采用Netty通信。 目前客户端支持Java, C++, Go。
企业级的RocketMQ集群如何进行权限机制的控制
2401_83915664的博客
04-10 1032
还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试题+Spring源码合集+Java架构实战电子书+2021年最新大厂面试题。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!**
41 企业级的RocketMQ集群如何进行权限机制的控制
喜欢历史的码农
07-27 425
如果一个公司有很多技术团队,每个技术团队都会使用RocketMQ集群中的部分Topic,那么可能会有一个问题,如果订单团队使用的 Topic,被商品团队不小心写入了错误的脏数据,那就可可能会导致订单团队的Topic里的数据出错,此时该怎么办? 此时就需要在RocketMQ中引入权限功能,也就是说规定好订单团队的用户,只能使用“OrderTopic” ,然后商品团队的用户只能使用 “ProductTopic” ,不能混乱的使用别人的 Topic。 而要在RocketMQ中实现权限控制,首先需要在 brok
手拉手RocketMQ消息跟踪与acl权限控制
weixin_47268883的博客
03-29 1183
手拉手RocketMQ消息跟踪与acl权限控制
RocketMQ 权限控制
深圳市多克创新科技有限公司
05-17 877
RocketMQ 权限控制
RocketMq中的perm属性2 4 6用于设置对当前创建Topic的操作权
小泽
12-03 1008
pem rocketmq
分布式中间件(二):RocketMQ 应用
Men-DD
06-15 3399
RocketMQ的编程模型 消息发送者的固定步骤1.创建消息生产者producer,并制定生产者组名 2.指定Nameserver地址 3.启动producer 4.创建消息对象,指定主题Topic、Tag和消息体 5.发送消息 6.关闭生产者producer消息消费者的固定步骤1.创建消费者Consumer,制定消费者组名 2.指定Nameserver地址 3.订阅主题Topic和Tag 4.设置回调函数,处理消息 5.启动消费者consumerRocketMQ的推模式也是由拉模式封装出来的消息大小限制在
RocketMQ ACL鉴权设计与使用demo
游语
04-20 2701
摘要 rocketMq开启访问权限控制的目的是为了提高系统的安全性和保密性。要保证系统的安全性和保密性,那么就需要从身份认证和访问控制两个方向出发。身份认证是对系统的用户进行有效性、真实性验证;访问控制是在身份认证的基础上,根据不同用户的操作请求加以限制。身份认证关心的是“你是谁,你是否拥有你所声明的身份”这个问题;而访问控制则关心“你能做什么,不能做什么”的问题。rocketMq在4.4.0版本时引入了ACL机制,用于访问权限控制RocketMQ ACL使用指南 一 什么是ACL? ACL是acces
RocketMQ4.9.2 ACL鉴权设计与RocketMQ-Console对接+JAVA使用ACL鉴权发送消息
weixin_44121378的博客
02-28 4945
RocketMQ ACL使用指南 一 、什么是ACL? ACL是access control list的简称,俗称访问控制列表 用户:用户是访问控制的基础要素,也不难理解,RocketMQ ACL 必然也会引入用户的概 念,即支持用户名、密码; 资源:需要保护的对象,在 RocketMQ 中,消息发送涉及的 Topic、消息消费涉及的 消费组,应该进行保护,故可以抽象成资源; 权限:针对资源,能进行的操作; 角色:RocketMQ 中,只定义两种是否是管理员 另外,RocketMQ ACL还支持按照客户
骨灰级最便捷搭建RocketMQ服务器的方法
正在起名中。。。。。
09-08 229
史上最便捷搭建RocketMQ服务器的方法 最近学习使用 rocketmq,需要搭建 rocketmq 服务端,本文主要记录 rocketmq 搭建过程以及这个过程踩到的一些坑。至于有多简单呢,在本机已有Docker环境的情况下只需要三步即可。 从github上面拉取项目 修改broker.conf中的brokerIP1参数,修改为本机IP 进入docker-compose.yml文件所在路径,执行docker-compose up命令即可 前言 首先我们是使用Doc.
rocketMQ的使用
qq_55471073的博客
07-26 1807
又或者实现implementsMessageListener接口。然后作为消费者的参数bean。如此就创建好了接收消息的消费者。消费消息只需要对接收消息的body进行操作。用map缓存生产者。
RecoketMQ管理命令之Topic管理
Ernest
05-26 3917
主要介绍针对 Apache RocketMQ 的 Topic 管理命令
RockeMQ ACL权限控制
Break a Leg
08-11 394
查看官方文档。主要步骤有: plain_acl.yml 设置权限属性 broker.conf 设置 【aclEnable=true】 Client客户端通过 RPCHook注入AccessKey和SecretKey签名。 实操 下载【distribution/conf/plain_acl.yml配置文件】,根据文档描述到指定路径下下载plain_acl.yml文件。 文件路径: https://github.com/apache/rocketmq/tree/master/distribution/
RocketMQ的安装,可视化操作以及可视化操作时遇到的问题
m0_54070163的博客
02-22 2042
RocketMQ的单机安装启动,以及可视化操作及遇到的问题解决
源码分析RocketMQ ACL实现机制
中间件兴趣圈
07-07 3112
有关RocketMQ ACL的使用请查看上一篇《RocketMQ ACL使用指南》,本文从源码的角度,分析一下RocketMQ ACL的实现原理。 备注:RocketMQ在4.4.0时引入了ACL机制,本文代码基于RocketMQ4.5.0版本。 本节目录1、BrokerController#initialAcl2、PlainAccessValidator2.1 类图2.1.2 PlainAc...
RocketMQ源代码深度解析:揭秘分布式消息平台
在内容部分,文档涵盖了多个关键主题,如RocketMQ权限控制(ACL)、消息轨迹的实现、以及基于Raft协议的多副本一致性机制。以下是对这些主题的详细阐述: 1. **RocketMQ ACL**:RocketMQ的访问控制列表(ACL)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值