没有配置消息服务器安全策略,只要知晓服务器地址、端口,就可以通过程序访问。
$ActiveMQ,表示ActiveMQ的安装目录。
控制台安全配置
$ActiveMQ/conf/jetty.xml,该文件开启权限,将property标签name属性为authenticate的属性value=”false”改为”true”。
<bean id="securityConstraint" class="org.eclipse.jetty.http.security.Constraint">
<property name="name" value="BASIC" />
<property name="roles" value="admin" />
<property name="authenticate" value="true" />
</bean>
$ActiveMQ/conf/jetty-realm.properties,控制台登录的同户名密码。
# Defines users that can access the web (console, demo, etc.)
# username: password [,rolename ...]
admin: admin, admin
用户格式定义: 用户名:密码[,角色…] , 以上配置就是用户名为admin,密码为admin,角色为admin的用户。
JMS安全配置
官方文档对队列操作的权限这样描述:
read:You can browse and consume from the destination。
write:You can send messages to the destination。
admin:You can lazily create the destination if it does not yet exist. This allows you fine grained control over which new destinations can be dynamically created in what part of the queue/topic hierarchy。
其实理解起来非常简单,read、write也就是拥有往队列存放数据和从队列读取数据的操作权限。admin顾名思义就是除了read、write外,如果链接消息服务器。操作指定队列时,如果该队列不存在,则会自动创建一个队列。
简单的身份验证(Simple Authentication Plugin)
$ActiveMQ/conf/activemq.xml文件中加入配置内容
<simpleAuthenticationPlugin>
<users>
<authenticationUser username="system" password="manager"
groups="users,admins"/>
<authenticationUser username="user" password="${user.password}"
groups="users"/>
<authenticationUser username="guest" password="password" groups="guests"/>
</users>
</simpleAuthenticationPlugin>
如配置了systemUsage,以上配置片段应该放到systemUsage之前。
user.password占位符,可在
ActiveMQ/conf/credential.properties中配置。
JAAS身份验证
$ActiveMQ/conf/activemq.xml文件中加入配置内容
<plugins>
<jaasAuthenticationPlugin configuration="activemq-domain" />
<authorizationPlugin>
<map>
<authorizationMap>
<authorizationEntries>
<authorizationEntry queue=">" read="users" write="users" admin="users" />
<authorizationEntry queue="TEST.Q" read="users" write="users" admin="users" />
<authorizationEntry topic="ActiveMQ.Advisory.>" read="all" write="all" admin="all"/>
</authorizationEntries>
<tempDestinationAuthorizationEntry>
<tempDestinationAuthorizationEntry read="admin" write="admin" admin="admin"/>
</tempDestinationAuthorizationEntry>
</authorizationMap>
</map>
</authorizationPlugin>
</plugins>
在配置中 “>” 代表所有的意思. 而 “ActiveMQ.Advisory.>” 则代表.名为 “ActiveMQ.Advisory.”下的所有。
相关Properties配置
login.properties
activemq-domain {
org.apache.activemq.jaas.PropertiesLoginModule required
debug=true
org.apache.activemq.jaas.properties.user="org/apache/activemq/security/users.properties"
org.apache.activemq.jaas.properties.group="org/apache/activemq/security/groups.properties";
};
users.properties
admin=admin
以上properties文件配置,用户名=密码的格式。admin用户,密码为admin。
group.properties
admins=admin
以上properties文件配置,组名=用户名。admins组,包含用户admin。
还有users组,包含普通用户。guest组,包含访客。