EMQ-百万级分布式开源物联网MQTT消息服务器。
MQTT 认证设置
EMQ 消息服务器认证由一系列认证插件(Plugin)提供,系统支持按用户名密码、ClientID 或匿名认证。
系统默认开启匿名认证(anonymous),通过加载认证插件可开启的多个认证模块组成认证链:
---------------- ---------------- ------------ Client --> | Username认证 | -ignore-> | ClientID认证 | -ignore-> | 匿名认证 | ---------------- ---------------- ------------ | | | \|/ \|/ \|/ allow | deny allow | deny allow | deny
注解
EMQ 2.0 消息服务器还提供了 MySQL、PostgreSQL、Redis、MongoDB、HTTP、LDAP 认证插件。
1. 首先,当然是禁用匿名认证了,不然你的mqtt服务器任何都可以连接,岂不是很危险。
进入emqttd安装目录的etc
修改etc目录下的emq.conf文件, vim emq.conf 找到 mqtt.all_anonymous配置项将其置为false
2. Mysql插件认证
通过 MySQL 数据库表认证,可创建如下的 ‘mqtt_user’ 表:
-
CREATE
TABLE
`mqtt_user` (
-
`id`
int(
11)
unsigned
NOT
NULL AUTO_INCREMENT,
-
`username`
varchar(
100)
DEFAULT
NULL,
-
`password`
varchar(
100)
DEFAULT
NULL,
-
`salt`
varchar(
20)
DEFAULT
NULL,
-
`is_superuser` tinyint(
1)
DEFAULT
0,
-
`created` datetime
DEFAULT
NULL,
-
PRIMARY
KEY (
`id`),
-
UNIQUE
KEY
`mqtt_username` (
`username`)
-
)
ENGINE=MyISAM
DEFAULT
CHARSET=utf8;
etc/plugins/emq_auth_mysql.conf 配置 ‘super_query’, ‘auth_query’, ‘password_hash’:
-
## Mysql Server 数据库的ip:port
-
auth.mysql.server =
127.0
.0
.1:
3306
-
-
## Mysql Pool Size 池大小
-
auth.mysql.pool =
8
-
-
## Mysql Username 用户名(根据实际情况填写,别问为什么是xxx)
-
auth.mysql.username = xxx
-
-
## Mysql Password 密码
-
auth.mysql.password = xxx
-
-
## Mysql Database 数据库实例的名字
-
auth.mysql.database = mqtt
-
-
## Variables: %u = username, %c = clientid
-
-
## Authentication Query: select password only
-
auth.mysql.auth_query =
select password
from mqtt_user
where username =
'%u' limit
1
-
-
## Password hash: plain, md5, sha, sha256, pbkdf2
-
## 密码加密方式 sha256,md5等 也可以加盐 salt,这个稍后细细道来
-
auth.mysql.password_hash = sha256
-
-
## %% Superuser Query
-
auth.mysql.super_query =
select is_superuser
from mqtt_user
where username =
'%u' limit
1
以上配置项的值根据自身填写。
需要注意,当你的密码是通过md5+salt加密的时候,需要修改2个配置项
-
## Authentication Query: select password only
-
## sql语句同时也需将salt查出来,肯定 你事先肯定要存入表中。
-
auth.mysql.auth_query =
select password,salt
from mqtt_user
where username =
'%u' limit
1
-
-
## 加密方式为 md5 + salt 盐在密码后
-
auth.mysql.password_hash = md5,salt
ok,这样mysql插件 认证搞定。
访问控制(ACL)
MQ 消息服务器通过 ACL(Access Control List) 实现 MQTT 客户端访问控制。
ACL 访问控制规则定义:
允许(Allow)|拒绝(Deny) 谁(Who) 订阅(Subscribe)|发布(Publish) 主题列表(Topics)
MQTT 客户端发起订阅/发布请求时,EMQ 消息服务器的访问控制模块,会逐条匹配 ACL 规则,直到匹配成功为止:
--------- --------- --------- Client -> | Rule1 | --nomatch--> | Rule2 | --nomatch--> | Rule3 | --> Default --------- --------- --------- | | | match match match \|/ \|/ \|/ allow | deny allow | deny allow | deny
默认访问控制设置
EMQ 消息服务器默认访问控制,在 etc/emq.conf 中设置:
-
## ACL nomatch
-
mqtt.acl_nomatch = allow
-
-
## Default ACL File
-
mqtt.acl_file = etc/acl.conf
ACL 规则定义在 etc/acl.conf,EMQ 启动时加载到内存:
-
%% Allow
'dashboard' to subscribe
'$SYS/#'
-
{allow, {user,
"dashboard"}, subscribe, [
"$SYS/#"]}.
-
-
%% Allow clients from localhost to subscribe any topics
-
{allow, {ipaddr,
"127.0.0.1"}, pubsub, [
"$SYS/#",
"#"]}.
-
-
%% Deny clients to subscribe
'$SYS#' and
'#'
-
{deny, all, subscribe, [
"$SYS/#", {eq,
"#"}]}.
-
-
%% Allow all
by
default
-
{allow, all}.
1. mysql插件的访问控制
MySQL 插件访问控制,通过 mqtt_acl 表定义 ACL 规则:
-
CREATE
TABLE
`mqtt_acl` (
-
`id`
int(
11)
unsigned
NOT
NULL AUTO_INCREMENT,
-
`allow`
int(
1)
DEFAULT
NULL
COMMENT
'0: deny, 1: allow',
-
`ipaddr`
varchar(
60)
DEFAULT
NULL
COMMENT
'IpAddress',
-
`username`
varchar(
100)
DEFAULT
NULL
COMMENT
'Username',
-
`clientid`
varchar(
100)
DEFAULT
NULL
COMMENT
'ClientId',
-
`access`
int(
2)
NOT
NULL
COMMENT
'1: subscribe, 2: publish, 3: pubsub',
-
`topic`
varchar(
100)
NOT
NULL
DEFAULT
''
COMMENT
'Topic Filter',
-
PRIMARY
KEY (
`id`)
-
)
ENGINE=
InnoDB
DEFAULT
CHARSET=utf8;
-
-
INSERT
INTO mqtt_acl (
id,
allow, ipaddr, username, clientid,
access, topic)
-
VALUES
-
(
1,
1,
NULL,
'$all',
NULL,
2,
'#'),
-
(
2,
0,
NULL,
'$all',
NULL,
1,
'$SYS/#'),
-
(
3,
0,
NULL,
'$all',
NULL,
1,
'eq #'),
-
(
5,
1,
'127.0.0.1',
NULL,
NULL,
2,
'$SYS/#'),
-
(
6,
1,
'127.0.0.1',
NULL,
NULL,
2,
'#'),
-
(
7,
1,
NULL,
'dashboard',
NULL,
1,
'$SYS/#');
etc/plugins/emq_auth_mysql.conf 配置 ‘acl_query’ 与 ‘acl_nomatch’:
-
## ACL Query Command
-
##这个语句 基本不用改动,如果表名为mqtt_acl,字段也相同
-
auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic
from mqtt_acl where ipaddr =
'%a'
or username =
'%u'
or username =
'$all'
or clientid =
'%c'