emqx开启mysql插件进行动态认证鉴权

已于 2023-03-29 15:41:53 修改
阅读量3.3k 收藏 9
点赞数 2
分类专栏: EMQ 文章标签: emqx
于 2020-05-03 22:42:10 首次发布
Mr.Qu
本文链接:https://blog.csdn.net/qq_37949192/article/details/105908717
版权

                                        emqx开启mysql插件

一、简述

  1. 采用emqx搭建mqtt服务器,基于主题(topic)的发布订阅模式。在线上项目中使用,肯定要进行动态的认证和topic权限鉴权,动态管理连接emqx的用户名和密码,以及用户对应的主题权限,本文采用外接mysql形式进行用户管理。

二、开启插件前准备好数据库

  1. 在mysql中创建好插件所需要的的表用户表和acl权限表(默认用户表为‘mqtt_user’,acl权限表为‘mqtt_acl’)
    1. 建表语句如下: 
      CREATE TABLE `mqtt_user` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(100) DEFAULT NULL,
  `password` varchar(100) DEFAULT NULL,
  `salt` varchar(35) DEFAULT NULL,
  `is_superuser` tinyint(1) DEFAULT 0,
  `created` datetime DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `mqtt_username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;


CREATE TABLE `mqtt_acl` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `allow` int(1) DEFAULT 1 COMMENT '0: deny, 1: allow',
  `ipaddr` varchar(60) DEFAULT NULL COMMENT 'IpAddress',
  `username` varchar(100) DEFAULT NULL COMMENT 'Username',
  `clientid` varchar(100) DEFAULT NULL COMMENT 'ClientId',
  `access` int(2) NOT NULL COMMENT '1: subscribe, 2: publish, 3: pubsub',
  `topic` varchar(100) NOT NULL DEFAULT '' COMMENT 'Topic Filter',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
  2. 表字段说明   
  • allow:禁止(0),允许(1)
  • ipaddr:设置 IP 地址
  • username:连接客户端的用户名,此处的值如果设置为 $all 表示该规则适用于所有的用户
  • clientid:连接客户端的 Client ID
  • access:允许的操作:订阅(1),发布(2),订阅发布都可以(3)
  • topic:控制的主题,可以使用通配符,并且可以在主题中加入占位符来匹配客户端信息,例如 t/%c则在匹配时主题将会替换为当前客户端的 Client ID
    • %u:用户名
    • %c:Client ID

三、mysql插件修改

1、首先把emqx安装目录下的etc/emqx.conf中配置修改:

## 将匿名访问禁止掉,默认是开启的,无需用户名和密码即可连接emqx。
allow_anonymous = false

## 如果没有匹配的ACL规则,则拒绝;默认是允许的。
acl_nomatch = deny

2、修改mysql插件配置里面的信息(位于emqx的etc/plugins/emqx_auth_mysql.conf):

第一步:修改mysql连接信息,

# etc/plugins/emqx_auth_mysql.conf

## mysql所在服务器地址和ip端口号
auth.mysql.server = 127.0.0.1:3306

## 连接池大小
auth.mysql.pool = 8

## 连接mysql数据库的用户名
auth.mysql.username = emqx

## 连接mysql数据库的密码
auth.mysql.password = public

## mqtt_user和mqtt_acl这两张表所属的数据库
auth.mysql.database = mqtt

auth.mysql.query_timeout = 5s

第二步:设置密码加密方式和认证sql查询语句

##    根据用户名查询用户密码的sql。
auth.mysql.auth_query = select password from mqtt_user where username = '%u' limit 1


##    plain使用明文连接,不加密,即连接emqx的密码和数据库中的密码一致
auth.mysql.password_hash = plain

可以在认证 SQL 中使用以下占位符,执行时 EMQ X 将自动填充为客户端信息:

  • %u:用户名
  • %c:Client ID
  • %C:TLS 证书公用名(证书的域名或子域名),仅当 TLS 连接时有效
  • %d:TLS 证书 subject,仅当 TLS 连接时有效

也可以根据自己的业务需要调整认证sql,如添加多个查询条件、使用数据库预处理函数,以实现更多业务相关的功能。

注: 查询结果只能有一条,多条结果时只取第一条作为有效数据。

如果启用了加盐配置,查询结果中必须包含 salt 字段,EMQ X 使用该字段作为 salt(盐)值。

查询结果必须包含password,若表中密码字段为pwd则此处查询的password使用as语法;例如pwd as password。

若不想使用mqtt_user这个表名,则需要这个地方查询语句中的表名和数据库中表名保持一致即可。

第三步:acl鉴权查询语句开启(默认是开启状态,则无需改动)

 超级用户SQL(super_query)

进行 ACL 鉴权时,EMQ X 将使用当前客户端信息填充并执行用户配置的超级用户 SQL,查询客户端是否为超级用户。客户端为超级用户时将跳过 ACL SQL。

  1. 查询结果中必须包含 is_superuser 字段,is_superuser 应该显式的为 true
  2. 查询结果只能有一条,多条结果时只取第一条作为有效数据

注:如果不需要超级用户功能,注释并禁用该选项能有效提高效率。

ACL SQL(acl_query)

进行 ACL 鉴权时,EMQ X 将使用当前客户端信息填充并执行用户配置的超级用户 SQL,如果没有启用超级用户 SQL 或客户端不是超级用户,则使用 ACL SQL 查询出该客户端在数据库中的 ACL 规则。

  1. 查询结果中必须包含 allow、access、topic、clientid、username、ipaddr 字段,如果字段不想参与比对则使用 $all 字符串或者数据库 NULL 值
  2. 查询结果可以有多条,多条结果时按照从上到下的顺序进行匹配

注:可以在 SQL 中调整查询条件、指定排序方式实现更高效率的查询。

以上操作均在Linux环境下,Windows环境下可能会存在异常(PS:本人遇到过)                                                 

Mr.Qubb
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
localhost拒绝连接_EMQ X 认证(一)—— 基于 MySQL 的 MQTT 连接认证
weixin_39809793的博客
11-28 670
前言 安全保护几乎对于所有的项目都是一个挑战,对于物联网项目更是如,自普及应用以来物联网业内已经发生过多起安全事故。作为物联网通信协议事实标准,MQTT 保持着较高的安全性,提供了多层次的安全设计:传输层:MQTT 基于 TCP/IP 协议,可以在传输层上使用 SSL/TLS 进行加密传输:使用 SSL/TLS 加密通信数据,防止中间人攻击;使用客户端证书作为设备身...
物联网新零售项目 物联网亿万级通信一站式解决方案EMQ
fegus的博客
04-15 1461
物联网亿万级通信一站式解决方案EMQ 1. MQTT 1.1 MQTT简介 1.1.1 什么是MQTT ​ MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议),是一种基于发布/订阅(publish/subscribe)模式的"轻量级"通讯协议,该协议构建于TCP/IP协议上,由IBM在1999年发布。MQTT最大优点在于,可以以极少的代码和有限的带宽,为连接远程设备提供实时可靠的消息服务。作为一种低开销、低带宽占用的即时通讯协议,使其在物联网、小型设备
EMQX物联网MQTT消息服务器集群搭建
爱新觉罗ZBC
04-15 2102
EMQX 是一款大规模可弹性伸缩的云原生分布式物联网 MQTT 消息服务器。 作为全球最具扩展性的 MQTT 消息服务器,EMQX 提供了高效可靠海量物联网设备连接,能够高性能实时移动与处理消息和事件流数据,帮助您快速构建关键业务的物联网平台与应用
emqx使用mysql完成用户密码验证和ACL
u011089760的博客
05-06 5804
摘要:前几篇博客介绍的是使用配置文件配置了ACL和客户端用户名密码配置实现生产环境下的安全登录和限控制,各项配置比较繁琐,修改起来比较麻烦,下面介绍使用mysql进行统一的管理控制。 环境说明: 1.linux系统下,centos 7环境 2.使用docker运行emqtt服务器,参照:https://blog.csdn.net/u011089760/artic...
emq 消息持久化 mysql_# EMQ X 持久化件系列(一)- 消息存储到 OpenTSDB 数据库
weixin_39521835的博客
02-11 220
OpenTSDB 是可扩展的分布式时序数据库,底层依赖 HBase 并充分发挥了HBase的分布式列存储特性,支持数百万每秒的读写。面对大规模快速增长的物联网传感器采集、交易记录等数据,时间序列数据累计速度非常快,时序数据库通过提高效率来处理这种大规模数据,并带来性能的提升,包括:更高的容纳率(Ingest Rates)、更快的大规模查询(尽管有一些比其他数据库支持更多的查询)以及更好的数据压缩。...
emq mysql_EMQ的Mysql
weixin_35656580的博客
01-27 608
EMQ最新版的是EMQX3.x.x版本,一如既往的支持Mysql认证,这里专门对Mysql认证件做个研究,写点总结。本人能力有限,文章不足之处希望及时反馈以免误导。首先我先描述一下我的应用场景:我要做一个后台,可以给EMQ创建客户端和客户端的ACL,从而实现对EMQ的终端进行控制。所以选择了EMQ的Mysql件作为基础组件。首先我们看看Mysql件的基础文档:【传送门】,然后我们分析一下EM...
EMQ的Mysql
chengsixu6384的博客
07-08 1063
EMQ最新版的是EMQX3.x.x版本,一如既往的支持Mysql认证,这里专门对Mysql认证件做个研究,写点总结。本人能力有限,文章不足之处希望及时反馈以免误导。 首先我先描述一下我的应用场景:我要做一个后台,可以给EMQ创建客户端和客户端的ACL,从而实...
EMQX集成Kafkaemqx_plugin_kafka,安装EMQX(二)
程序小猿洁的博客
11-16 4826
上一章主要说明了安装kafka前期的一些步骤,包括安装jdk1.8、zookeeper等,接下来主要就是通过源码编译安装emqx了,由于emqx是由erlang语言编写的,要想通过源码来编译安装emqx,那指定少不了erlang了。
EMQ acl 配置文件说明
03-29 2882
最近在弄设备接入的问题,关于acl接入认证以及对应的topic subscribe、pubsub、publish 限搞了半天也没弄好(没有开启第三方件 类似mysql、redis等),使用emq_auth_username 认证 由于以前使用的时候没有开启对应的认证和用户名密码认证,导致后面出现以下数据安全方面的问题,后续因为项目的需要,需要将以前的设备加入到认证,以及新得设...
Wemos_EMQX_MySQL.zip
04-28
标题 "Wemos_EMQX_MySQL.zip" 暗示了这个压缩包包含的项目是关于使用Wemos(基于ESP8266的微控制器)通过MQTT协议将DHT11传感器采集的温湿度数据发送到EMQ X MQTT服务器,并进一步存储到MySQL数据库中的代码实现。...
EMQX_MQTT_MySQL.zip
04-28
在ESP8266发送数据时,EMQX可能通过内置的SQL件或者自定义件,将接收到的MQTT消息入到MySQL的对应表中。这通常涉及到SQL的INSERT语句,将传感器值作为参数。 `EMQX_MQTT_MySQL_8266.zip`文件可能是包含整个...
emqx配置和安装.docx
06-22
EMQX 的消息存储可以使用 MySQL 数据库,创建一个名为 `emqx_history_20220612` 的表,表结构如下: CREATE TABLE `emqx_history_20220612` ( `msg_id` int(11) NOT NULL, `msg_body` text CHARACTER SET utf8 ...
ethsonliu#personal-notes#emqx 启用 mysql acl1
07-25
Allow or deny if no ACL rules matched.打开/etc/emqx/plugins/emqx_auth_mysql.conf,a
MySQL补丁】vcredist-x64xz MySQL必备
最新发布
04-28
vcredist_x64xz是一个专为64位操作系统设计的Visual C++可再发行程序包,它包含了Microsoft C和C++(MSVC)的运行时库。这个程序包的主要目标是解决在64位操作系统上运行基于Microsoft C和C++工具生成的应用程序时...
emq件开发mysql,关于java:EMQ-X-基于-MySQL-的-MQTT-连接认证
weixin_42529328的博客
03-13 350
创立数据库你能够应用任何本人喜爱的 客户端,创立好相应的数据库。这里用的是 MySQL 自带的命令行客户端,关上 MySQL 的控制台,如下所示,创立一个名为 emqx认证数据库,并切换到 emqx 数据库。mysql> create database emqx;Query OK, 1 row affected (0.00 sec)mysql> use emqx;Database ...
emq auth mysql_EMQ-MySQL认证MySQL访问控制
weixin_34663036的博客
01-26 264
etc/emqx.confallow_anonymous = false #关闭匿名认证;如果设置为true,任何客户端都可以连接mqtt服务## Allow or deny if no ACL rules matchedmqtt.acl_nomatch = deny #ACL未匹配时默认授,配置什么限,客户端就有什么限;如果设置为allow,匹配不到的限也都有MySQL 认证MySQL ...
使用EMQX 安装、部署MQTT 服务器详解
热门推荐
Adunn的专栏
07-08 1万+
使用EMQX 安装、部署MQTT 服务器详解 Linux下使用EMQX 安装、部署MQTT 服务器详解 本文从如下几个方面进行详细说明: - [ ] EMQX整体说明 - [ ] 安装EQMX(MQTT服务器) - [ ] EMQX 常用命令 - [ ] 登录EMQX(MQTT服务器) - [ ] 通过mqttbox工具,进行MQTT消息的订阅、发布测试 - [ ] 通过MQTTX工具,进行MQTT消息的订阅、发布测试......
EMQX mysql认证 示例
yixiuquan的博客
05-26 518
入语句: INSERT INTO `mqtt_user`.`mqtt_user`(`id`, `username`, `password_hash`, `salt`, `is_superuser`, `created`) VALUES (3, 'lieh3', SHA2(concat('lieh3', 'yxq'), 256), 'yxq', 0, NULL);可通过select SHA2(concat('lieh3', 'yxq'), 256) 查看生成的密码。盐值 salt:yxq。
MQTT——EMQX学习笔记04——ACL(发布与订阅限)
a123123sdf的博客
10-25 5567
目录标题一、什么是ACL二、配置ACL的方式(一)配置文件(二)外部数据库(三)其他三、全局限四、内置ACL配置详情(一)配置公式(二)默认限(三)ACL配置文件(四)acl.conf编写规则(五)载入规则五、使用 HTTP API 管理 ACL 规则 一、什么是ACL 发布订阅 ACL 指对 发布 (PUBLISH)/订阅 (SUBSCRIBE) 操作的 限控制。例如拒绝用户名为 Anna 向 主题 open/elsa/door 发布消息。 二、配置ACL的方式 (一)配置文件 内置 ACL 使用配
EMQ X MySQL认证配置
06-07
EMQ X 支持使用 MySQL 进行认证,具体配置步骤如下: 1. 安装 MySQL 和 Python 的 MySQL 驱动程序 2. 创建 EMQ X 所需的数据库和数据表,可以使用以下 SQL 语句: ```sql CREATE DATABASE emqx_auth; USE emqx_auth; CREATE TABLE mqtt_user ( id INT(11) UNSIGNED NOT NULL AUTO_INCREMENT, username VARCHAR(100) NOT NULL, password VARCHAR(100) NOT NULL, is_superuser BOOL NOT NULL DEFAULT FALSE, PRIMARY KEY (id), UNIQUE KEY mqtt_user_username_uindex (username) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci; CREATE TABLE mqtt_acl ( id INT(11) UNSIGNED NOT NULL AUTO_INCREMENT, allow INT(1) NOT NULL DEFAULT 1, ipaddr VARCHAR(60) NOT NULL DEFAULT '', username VARCHAR(100) NOT NULL, clientid VARCHAR(100) NOT NULL, access INTEGER(2) NOT NULL, topic VARCHAR(256) NOT NULL, PRIMARY KEY (id), KEY mqtt_acl_username_clientid_topic_uindex (username,clientid,topic) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci; ``` 3. 配置 EMQ X,编辑 emqx.conf 文件,将 auth.acl.auth_mysql 和 auth.user.auth_mysql 配置为 true,同时配置数据库连接信息,例如: ```conf auth.user.auth_mysql = on auth.user.mysql.server = 127.0.0.1:3306 auth.user.mysql.username = root auth.user.mysql.password = root auth.user.mysql.database = emqx_auth auth.user.mysql.pool = 8 auth.acl.auth_mysql = on auth.acl.mysql.server = 127.0.0.1:3306 auth.acl.mysql.username = root auth.acl.mysql.password = root auth.acl.mysql.database = emqx_auth auth.acl.mysql.pool = 8 ``` 4. 重启 EMQ X,使配置生效。 注意:以上配置仅供参考,实际配置应根据具体情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Qubb

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值