EMQ--添加mysql认证及mysql插件访问控制

最新推荐文章于 2023-01-10 09:38:06 发布

u011024421

最新推荐文章于 2023-01-10 09:38:06 发布

阅读量470

点赞数 1

分类专栏： emq mqtt 物联网

emq 同时被 3 个专栏收录

7 篇文章 0 订阅

订阅专栏

mqtt

7 篇文章 0 订阅

订阅专栏

物联网

7 篇文章 0 订阅

订阅专栏

EMQ-百万级分布式开源物联网MQTT消息服务器。

MQTT 认证设置

EMQ 消息服务器认证由一系列认证插件(Plugin)提供，系统支持按用户名密码、ClientID 或匿名认证。

系统默认开启匿名认证(anonymous)，通过加载认证插件可开启的多个认证模块组成认证链:


 
 
   
   
    
    
   
   
   
   
    
    
     
               ----------------           ----------------           ------------
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     Client --> | Username认证 | -ignore-> | ClientID认证 | -ignore-> | 匿名认证 |
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
                ----------------           ----------------           ------------
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
                       |                         |                         |
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
                      \|/                       \|/                       \|/
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
                 allow | deny              allow | deny              allow | deny

注解

EMQ 2.0 消息服务器还提供了 MySQL、PostgreSQL、Redis、MongoDB、HTTP、LDAP 认证插件。

1. 首先，当然是禁用匿名认证了，不然你的mqtt服务器任何都可以连接，岂不是很危险。

进入emqttd安装目录的etc

修改etc目录下的emq.conf文件， vim emq.conf 找到 mqtt.all_anonymous配置项将其置为false

2. Mysql插件认证

通过 MySQL 数据库表认证，可创建如下的 ‘mqtt_user’ 表:


 
 
   
   
    
    
   
   
   
   
    
    
     
     CREATE 
     
     TABLE 
     
     `mqtt_user` (
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `id` 
     
     int(
     
     11) 
     
     unsigned 
     
     NOT 
     
     NULL AUTO_INCREMENT,
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `username` 
     
     varchar(
     
     100) 
     
     DEFAULT 
     
     NULL,
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `password` 
     
     varchar(
     
     100) 
     
     DEFAULT 
     
     NULL,
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `salt` 
     
     varchar(
     
     20) 
     
     DEFAULT 
     
     NULL,
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `is_superuser` tinyint(
     
     1) 
     
     DEFAULT 
     
     0,
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `created` datetime 
     
     DEFAULT 
     
     NULL,
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
       PRIMARY 
     
     KEY (
     
     `id`),
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     UNIQUE 
     
     KEY 
     
     `mqtt_username` (
     
     `username`)
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ) 
     
     ENGINE=MyISAM 
     
     DEFAULT 
     
     CHARSET=utf8;

etc/plugins/emq_auth_mysql.conf 配置 ‘super_query’, ‘auth_query’, ‘password_hash’:


 
 
   
   
    
    
   
   
   
   
    
    
     
     ## Mysql Server 数据库的ip:port
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.server = 
     
     127.0
     
     .0
     
     .1:
     
     3306
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## Mysql Pool Size  池大小
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.pool = 
     
     8
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## Mysql Username  用户名(根据实际情况填写，别问为什么是xxx)
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.username =  xxx
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## Mysql Password  密码
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.password =  xxx
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## Mysql Database  数据库实例的名字
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.database = mqtt
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## Variables: %u = username, %c = clientid
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## Authentication Query: select password only
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.auth_query = 
     
     select password 
     
     from mqtt_user 
     
     where username = 
     
     '%u' limit 
     
     1
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## Password hash: plain, md5, sha, sha256, pbkdf2
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## 密码加密方式 sha256,md5等 也可以加盐 salt,这个稍后细细道来
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.password_hash = sha256
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## %% Superuser Query
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.super_query = 
     
     select is_superuser 
     
     from mqtt_user 
     
     where username = 
     
     '%u' limit 
     
     1

以上配置项的值根据自身填写。

需要注意，当你的密码是通过md5+salt加密的时候，需要修改2个配置项


 
 
   
   
    
    
   
   
   
   
    
    
     
     ## Authentication Query: select password only
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## sql语句同时也需将salt查出来，肯定 你事先肯定要存入表中。
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.auth_query = 
     
     select password,salt 
     
     from mqtt_user 
     
     where username = 
     
     '%u' limit 
     
     1
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## 加密方式为 md5 + salt 盐在密码后
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.password_hash = md5,salt

ok，这样mysql插件认证搞定。

访问控制(ACL)

MQ 消息服务器通过 ACL(Access Control List) 实现 MQTT 客户端访问控制。

ACL 访问控制规则定义:

允许(Allow)|拒绝(Deny) 谁(Who) 订阅(Subscribe)|发布(Publish) 主题列表(Topics)

MQTT 客户端发起订阅/发布请求时，EMQ 消息服务器的访问控制模块，会逐条匹配 ACL 规则，直到匹配成功为止:


 
 
   
   
    
    
   
   
   
   
    
    
     
               ---------              ---------              ---------
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     Client -> | Rule1 | --nomatch--> | Rule2 | --nomatch--> | Rule3 | --> Default
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
               ---------              ---------              ---------
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
                   |                      |                      |
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
                 match                  match                  match
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
                  \|/                    \|/                    \|/
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
             allow | deny           allow | deny           allow | deny

默认访问控制设置

EMQ 消息服务器默认访问控制，在 etc/emq.conf 中设置:


 
 
   
   
    
    
   
   
   
   
    
    
     
     ## ACL nomatch
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     mqtt.acl_nomatch = allow
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ## Default ACL File
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     mqtt.acl_file = etc/acl.conf

ACL 规则定义在 etc/acl.conf，EMQ 启动时加载到内存:


 
 
   
   
    
    
   
   
   
   
    
    
     
     %% Allow 
     
     'dashboard' to subscribe 
     
     '$SYS/#'
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     {allow, {user, 
     
     "dashboard"}, subscribe, [
     
     "$SYS/#"]}.
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     %% Allow clients from localhost to subscribe any topics
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     {allow, {ipaddr, 
     
     "127.0.0.1"}, pubsub, [
     
     "$SYS/#", 
     
     "#"]}.
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     %% Deny clients to subscribe 
     
     '$SYS#' and 
     
     '#'
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     {deny, all, subscribe, [
     
     "$SYS/#", {eq, 
     
     "#"}]}.
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     %% Allow all 
     
     by 
     
     default
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     {allow, all}.

1. mysql插件的访问控制

MySQL 插件访问控制，通过 mqtt_acl 表定义 ACL 规则:


 
 
   
   
    
    
   
   
   
   
    
    
     
     CREATE 
     
     TABLE 
     
     `mqtt_acl` (
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `id` 
     
     int(
     
     11) 
     
     unsigned 
     
     NOT 
     
     NULL AUTO_INCREMENT,
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `allow` 
     
     int(
     
     1) 
     
     DEFAULT 
     
     NULL 
     
     COMMENT 
     
     '0: deny, 1: allow',
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `ipaddr` 
     
     varchar(
     
     60) 
     
     DEFAULT 
     
     NULL 
     
     COMMENT 
     
     'IpAddress',
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `username` 
     
     varchar(
     
     100) 
     
     DEFAULT 
     
     NULL 
     
     COMMENT 
     
     'Username',
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `clientid` 
     
     varchar(
     
     100) 
     
     DEFAULT 
     
     NULL 
     
     COMMENT 
     
     'ClientId',
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `access` 
     
     int(
     
     2) 
     
     NOT 
     
     NULL 
     
     COMMENT 
     
     '1: subscribe, 2: publish, 3: pubsub',
    
    
   
   

   
   
    
    
   
   
   
   
    
      
     
     `topic` 
     
     varchar(
     
     100) 
     
     NOT 
     
     NULL 
     
     DEFAULT 
     
     '' 
     
     COMMENT 
     
     'Topic Filter',
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
       PRIMARY 
     
     KEY (
     
     `id`)
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ) 
     
     ENGINE=
     
     InnoDB 
     
     DEFAULT 
     
     CHARSET=utf8;
    
    
   
   

   
   
    
    
   
   
   
   
    
     
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     INSERT 
     
     INTO mqtt_acl (
     
     id, 
     
     allow, ipaddr, username, clientid, 
     
     access, topic)
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     VALUES
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
         (
     
     1,
     
     1,
     
     NULL,
     
     '$all',
     
     NULL,
     
     2,
     
     '#'),
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
         (
     
     2,
     
     0,
     
     NULL,
     
     '$all',
     
     NULL,
     
     1,
     
     '$SYS/#'),
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
         (
     
     3,
     
     0,
     
     NULL,
     
     '$all',
     
     NULL,
     
     1,
     
     'eq #'),
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
         (
     
     5,
     
     1,
     
     '127.0.0.1',
     
     NULL,
     
     NULL,
     
     2,
     
     '$SYS/#'),
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
         (
     
     6,
     
     1,
     
     '127.0.0.1',
     
     NULL,
     
     NULL,
     
     2,
     
     '#'),
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
         (
     
     7,
     
     1,
     
     NULL,
     
     'dashboard',
     
     NULL,
     
     1,
     
     '$SYS/#');

etc/plugins/emq_auth_mysql.conf 配置 ‘acl_query’ 与 ‘acl_nomatch’:


 
 
   
   
    
    
   
   
   
   
    
    
     
     ## ACL Query Command 
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     ##这个语句 基本不用改动，如果表名为mqtt_acl,字段也相同
    
    
   
   

   
   
    
    
   
   
   
   
    
    
     
     auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic 
     
     from mqtt_acl where ipaddr = 
     
     '%a' 
     
     or username = 
     
     '%u' 
     
     or username = 
     
     '$all' 
     
     or clientid = 
     
     '%c'

u011024421

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
EMQ--添加mysql认证及mysql插件访问控制

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/zhen_6137/article/details/81112337 EMQ-百万级分布式开源物联网MQTT消息服务器。MQTT 认证设置EMQ&nbsp;消息服务...
复制链接

扫一扫