EMQX HTTP Auth认证

已于 2022-10-22 22:29:54 修改
阅读量2.6k 收藏 9
点赞数 5
分类专栏: MQTT 文章标签: http 安全 java
于 2022-10-22 22:21:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013433591/article/details/127468566
版权

系统的安全性需要从身份认证、操作授权、黑名单机制、数据安全传输等几个方面去考虑,EMQX Broker的安全也是从这几方面考虑,下面分别介绍下EMQX安全特性。

身份认证

身份验证是大多数应用程序的重要组成部分。MQTT 协议支持用户名/密码认证以及增强认证,例如 SASL/SCRAM 身份验证。启用认证可以有效防止非法客户端连接。

EMQX 提供了与多种后端数据库的集成支持,包括 MySQL、PostgreSQL、MongoDB 和 Redis。同时 EMQX 也支持用户将身份凭据存储到内置数据库(Mnesia)中。与使用外部数据库相比,这种方式提供了非常简单的配置流程和用户管理接口。例如,您可以从仪表板 UI 管理用户,或从 CSV 或 JSON 文件批量导入用户。内置数据库也是性能最高的认证数据源,因为 EMQX 运行时会将这些用于认证的数据会从磁盘加载到内存中。

今天仅学习采用HTTP密码认证。

使用 HTTP 的密码认证

HTTP 认证使用外部自建 HTTP 应用认证数据源,根据 HTTP API 返回的数据判定认证结果,能够实现复杂的认证鉴权逻辑。

HTTP认证原理

  • 在认证器的设置中,指定 HTTP 请求模式。
  • 当 MQTT 客户端连接到 EMQX 时,HTTP 认证器会根据配置的请求模板渲染并发送生成的请求。
  • HTTP 响应状态码 (HTTP Status Code) 被用于判断认证请求是否被认证服务器接收执行。
    • 认证结果应通过 Status Code 200 或 204 进行返回。
      认证结果、是否为超级用户将分别由 Response Body 内的 resultis_superuser 字段值指示。
    • 其他响应码将被认为 HTTP 认证请求执行失败。如 4xx、5xx 等。
      此时认证结果使用缺省值 "ignore",继续执行认证链。如果当前的 HTTP 认证器是链上的最后一个认证器,则认证失败,客户端将被拒绝连接。
  • HTTP 响应的编码格式可以是 application/json

返回示例

HTTP/1.1 200 OK
Headers: Content-Type: application/json
...
Body:
{
    "result": "allow" | "deny" | "ignore", // Default `"ignore"`
    "is_superuser": true | false // Default `false`
}

配置

  1. 登录dashboard,点击 访问授权 -> 认证 -> 创建 按钮

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

特别注意:EMQX使用docker安装,因此填写宿主机ip

服务端 HTTP 代码

安装Gin 依赖

go get -u github.com/gin-gonic/gin

package main

import (
	"github.com/gin-gonic/gin"
	"io"
	"net/http"
	"os"
)

type Login struct {
	Username string `json:"username"`
	Password string `json:"password"`
}

func main() {
	gin.DefaultWriter = io.MultiWriter(os.Stdout)

	r := gin.Default()
	r.POST("/auth/:clientid", func(c *gin.Context) {
		login := Login{}
		c.BindJSON(&login)

		allow := "deny"
		//
		if login.Username == "kobe" && login.Password == "123456" {
			allow = "allow"
		}
		c.JSON(http.StatusOK, gin.H{
			"result":       allow,
			"is_superuser": "true",
		})
	})
	r.Run(":8888")
}

启动程序,进行测试

curl -X POST -d '{"username": "James", "password": "123456"}' \
     -H "Content-Type: application/json" \
     http://localhost:8888/auth/1

AndydeMacBook-Pro:~ andy$ curl -X POST -d '{"username": "James", "password": "123456"}'      -H "Content-Type: application/json"      http://localhost:8888/auth/1
{"result":"deny","is_superuser":true}

AndydeMacBook-Pro:~ andy$ curl -X POST -d '{"username": "kobe", "password": "123456"}'      -H "Content-Type: application/json"      http://localhost:8888//auth/1
{"result":"allow","is_superuser":true}

# 测试成功

登录测试

在这里插入图片描述

客户端登录,分别输入错误、正确的账号密码(错误账号: jodan/123456, 正确账号: kobe/123456),以及http服务端控制台输出截图:

错误账号链接

正确账号登录

总结

通过集成 外部HTTP 认证接口,极大的扩展了MQTT Broker的安全机制的能力,将认证功能暴露给业务系统接口,在精简Broker架构设计的同时,也增加了Broker认证的能力。总之,这一点架构思想是可以在平时的工作中借鉴的。

EMQX 入门教程⑤——安全认证 | 使用 HTTP 的密码认证,设备登录鉴权
09-06 4264
EMQX 入门教程⑤——安全认证 | 使用 HTTP 的密码认证,设备登录鉴权
EMQX 入门教程 基础篇①——设备登录认证,通过外部自建HTTP服务控制
10-15 5160
EMQX 登录认证,通过外部自建HTTP服务控制 官方教程 https://docs.emqx.net/broker/latest/cn/advanced/auth-http.html 启动emqx_auth_http插件 修改emqx_auth_http.conf配置文件 emqx\etc\plugins\emqx_auth_http.conf 我的服务器是8080的端口,所以我就改了一个端口 ##----------------------------------------------------
emqx-http-auth鉴权
leimingfeiniao的博客
12-31 1681
emqx-http-auth鉴权 前言 在如今大趋势环境下,物联网如火如荼,各种硬件互联协议层出不穷,ZHA, Mesh 等等,而软硬件交互中间件,想必很多用的都是mqtt,灵活而强大,然而使用第三方插件,势必会带来安全问题,所以鉴权是必不可少的。 鉴权选择 emqx支持多种鉴权方式: 内置访问控制文件 MySQL 认证/访问控制 PostgreSQL 认证/访问控制 Redis 认证/访问控制 HTTP 认证/访问控制 内置数据库 认证/访问控制 MongoDB 认证/访问控制 LDAP 认证/访问控制
EMQX 使用 HTTP 服务进行密码认证
最新发布
qq_41810947的博客
09-02 721
在做使用 HTTP 服务进行密码认证调试时遇到版本兼任问题,只是Demo所以没有深究区别,提供以下两个示例。
EMQX 开启http认证
SpringHASh的博客
09-08 1977
【代码】EMQX 开启http认证
EMQX_AUTH_HTTP 插件使用指南
chengyuchan9575的博客
08-03 1827
在阅读该教程之前,假定你已经了解 MQTT、EMQ X 的简单知识。 emqx_auth_http 它将每个终端的接入认证、访问控制事件抛给用户自己的 WebServer 以实现接入认证和ACL鉴权的功能。其架构逻辑如下: emqx_auth_http 主要处理的事情有:* 认证:每当终端...
emqxhttp插件认证,webhook插件认证,username 插件认证
鲸鱼姐的专栏
07-17 2876
emqxhttp插件认证,webhook插件认证,username插件认证
xiot-emqx-auth.zip
12-31
这个 "xiot-emqx-auth" 可能是 EMQ X 的一个自定义认证模块,提供了额外的安全层。 首先,我们需要理解 MQTT(Message Queuing Telemetry Transport),它是一种轻量级的发布/订阅协议,广泛用于 IoT 应用。EMQ X ...
emq auth mysql_EMQ X 认证鉴权(一)——基于 MySQL 的 MQTT 连接认证
weixin_36278982的博客
02-01 398
前言安全保护几乎对于所有的项目都是一个挑战,对于物联网项目更是如,自普及应用以来物联网业内已经发生过多起安全事故。作为物联网通信协议事实标准,MQTT 保持着较高的安全性,提供了多层次的安全设计:传输层:MQTT 基于 TCP/IP 协议,可以在传输层上使用 SSL/TLS 进行加密传输:使用 SSL/TLS 加密通信数据,防止中间人攻击;使用客户端证书作为设备身份凭证,验证设备合法性。应用层:使...
emqx安装包,老版本的,新的版本没有http监听器
07-26
在本文中,我们将深入探讨EMQX的老版本以及其与新版本中关于HTTP监听器的区别。 首先,EMQX老版本中包含HTTP监听器,这是为了提供除MQTT之外的API访问方式。HTTP监听器允许用户通过HTTP接口进行各种操作,如管理...
EMQX Cloud 更新:HTTP 自定义认证,灵活认证方式保障数据安全
weixin_41885542的博客
06-23 441
身份认证又称「验证」、「鉴权」,是指通过一定的手段,完成对用户身份的确认。身份认证是大多数应用的重要组成部分,启用身份认证能有效阻止非法客户端的连接。EMQX Cloud 中的认证指的是当一个客户端连接到 EMQX Cloud 的时候,通过服务器端的配置来控制客户端连接服务器的权限。...
emqx 客户端认证
a873428746的专栏
09-13 1494
创建认证器成功后,可以在认证列表中查看和管理。认证列表的每一栏都可以通过鼠标来拖动调整顺序,或通过操作栏调整列表顺序,顺序对于认证列表来说有一定的重要性,因为 EMQX 允许创建多个认证器,这些认证器将按照在认证链中的位置顺序运行,如果在当前认证器中未检索到匹配的认证信息,将会切换至链上的下一个认证器继续认证过程。增强认证包含质询/响应风格的认证,可以实现对客户端和服务器的双向认证,服务器可以验证连接的客户端是否是真正的客户端,客户端也可以验证连接的服务器是否是真正的服务器,从而提供了更高的安全性。
使用HTTP应用进行基于EMQ X的授权——单片机
PkdgBlockchain的博客
09-17 249
在上述代码中,我们需要将host替换为EMQ X服务器的主机名或IP地址,port替换为EMQ X配置文件中设置的HTTP监听端口。在上述代码中,我们需要将host替换为EMQ X服务器的主机名或IP地址,port替换为EMQ X配置文件中设置的HTTP监听端口。在物联网应用中,EMQ X是一款功能强大的开源物联网消息代理软件,它支持多种消息协议,并提供了丰富的授权机制。在物联网应用中,EMQ X是一款功能强大的开源物联网消息代理软件,它支持多种消息协议,并提供了丰富的授权机制。
EMQ X 之 emqx_auth_http
姚句的博客
04-29 2177
前言 好记性不如烂笔头 EMQ版本:3.1 用于校验设备合法性、是否为超级用户以及订阅与发布主题。 配置文件 根目录/etc/plugins/emqx_auth_http.conf ##-------------------------------------------------------------------- ## HTTP Auth/AC...
MQTT之emqx_auth_http插件认证
夏日清风
09-25 1565
官方中文参考文档: https://docs.emqx.io/docs/broker/v3/cn/plugins.html#http 说明:本示例基于docker上部署运行的MQTT 3.0版本介绍,插件已启动Dashboard面板 第一步:MQTT消息面板部分 配置auth、super及ack请求验证的api路径: 第二部分:Java后台api请求: package com...
EMQX+Django实现HTTP 认证
vvaa00的专栏
01-28 838
EMQX+Django实现HTTP 认证 一直以来都是使用的阿里云的物联网云平台,由于种种原因(主要是改版+收钱),而我只需要使用一些简单的功能,所以实际上个把月以前就用EMQX这个玩意搭建了自己的MQTT通信平台,今天终于抽空实现了HTTP认证,主要是实现设备连接MQTT平台时进行认证,非平台设备不让进行连接。ACL等认证功能还是没做,当然实现方法类似。 EMQ关于HTTP认证的文档,说实话写的比较简单,感觉信息量比较大,一个细节没注意,导致浪费了很多时间,所以说文档还是要好好看的,当然其还支持很多其他
EMQXHTTP认证和webhook配置
weixin_57442997的博客
03-29 1610
后端运行在本地使用localhost或本机IP,端口默认8080,如果做了修改或者代理,需要对应修改。超级用户认证和ACL鉴权用不到,但是需要注释掉,不然会占用几秒的认证时间。,后端运行在本地使用localhost或本机IP,端口默认8080,如果做了修改或者代理,需要对应修改。系统使用EMQX的WebHook插件,实现设备上下线和IP定位功能。系统使用EMQXHTTP认证插件,实现自定义认证逻辑。匿名认证安全,同时会影响认证流程,需要关闭。,文件比较大,大概位于第447行。认证请求地址为后端接口。
emqx 授权
a873428746的专栏
09-13 1026
emqx
【ESP 保姆级教程】玩转emqx认证篇⑤ ——使用 HTTP 的密码认证
单片机菜鸟哥的博客
02-01 1213
使用 HTTP 的密码认证的前提最好是已有的用户体系,然后在这个基础上加上关系映射即可。这种方式的好处相比 使用内置数据库(Mnesia)的密码认证 5. ESP8266 测试 就是如果我删掉了配置,用户数据还是保留下来的。
EMQ X MySQL认证配置
06-07
EMQ X 支持使用 MySQL 进行认证,具体配置步骤如下: 1. 安装 MySQL 和 Python 的 MySQL 驱动程序 2. 创建 EMQ X 所需的数据库和数据表,可以使用以下 SQL 语句: ```sql CREATE DATABASE emqx_auth; USE emqx_auth; CREATE TABLE mqtt_user ( id INT(11) UNSIGNED NOT NULL AUTO_INCREMENT, username VARCHAR(100) NOT NULL, password VARCHAR(100) NOT NULL, is_superuser BOOL NOT NULL DEFAULT FALSE, PRIMARY KEY (id), UNIQUE KEY mqtt_user_username_uindex (username) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci; CREATE TABLE mqtt_acl ( id INT(11) UNSIGNED NOT NULL AUTO_INCREMENT, allow INT(1) NOT NULL DEFAULT 1, ipaddr VARCHAR(60) NOT NULL DEFAULT '', username VARCHAR(100) NOT NULL, clientid VARCHAR(100) NOT NULL, access INTEGER(2) NOT NULL, topic VARCHAR(256) NOT NULL, PRIMARY KEY (id), KEY mqtt_acl_username_clientid_topic_uindex (username,clientid,topic) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci; ``` 3. 配置 EMQ X,编辑 emqx.conf 文件,将 auth.acl.auth_mysql 和 auth.user.auth_mysql 配置为 true,同时配置数据库连接信息,例如: ```conf auth.user.auth_mysql = on auth.user.mysql.server = 127.0.0.1:3306 auth.user.mysql.username = root auth.user.mysql.password = root auth.user.mysql.database = emqx_auth auth.user.mysql.pool = 8 auth.acl.auth_mysql = on auth.acl.mysql.server = 127.0.0.1:3306 auth.acl.mysql.username = root auth.acl.mysql.password = root auth.acl.mysql.database = emqx_auth auth.acl.mysql.pool = 8 ``` 4. 重启 EMQ X,使配置生效。 注意:以上配置仅供参考,实际配置应根据具体情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值