emq auth mysql_基于 MySQL 的 EMQ X Auth & ACL

在阅读该教程以前，假定你已经了解 MQTT、MQTT 5 以及 EMQ X 的简单知识。html

emqx-auth-mysql 它经过检查每一个终端接入的 username 和 password 是否与用户指定 的 MySQL 数据库中存储的信息一致来实现对终端的访问控制。其功能逻辑以下：mysql

本文假设 MySQL 已经安装在您的机器上，而且您能够链接到 MySQL 服务器。注：EMQ X 开源版至 v3.1-beta.2 为止，尚不支持 MySQL 8.0，所以如下内容仅适用于 MySQL 5.7 及如下版本。git

$ mysql --version

mysql Ver 14.14 Distrib 5.7.25, for macos10.14 (x86_64) using EditLine wrapper

插件配置项说明

mqtt.sql

emqx-auth-mysql 提供了 mqtt.sql 文件帮助用户快速建立数据表以及导入默认数据。mqtt.sql 将会为 mqtt_acl 数据表导入如下默认规则：github

mysql> select * from mqtt_acl;

+----+-------+-----------+-----------+----------+--------+--------+

| id | allow | ipaddr | username | clientid | access | topic |

+----+-------+-----------+-----------+----------+--------+--------+

| 1 | 1 | NULL | $all | NULL | 2 | # |

| 2 | 0 | NULL | $all | NULL | 1 | $SYS/# |

| 3 | 0 | NULL | $all | NULL | 1 | eq # |

| 4 | 1 | 127.0.0.1 | NULL | NULL | 2 | $SYS/# |

| 5 | 1 | 127.0.0.1 | NULL | NULL | 2 | # |

| 6 | 1 | NULL | dashboard | NULL | 1 | $SYS/# |

+----+-------+-----------+-----------+----------+--------+--------+

6 rows in set (0.00 sec)

allow - 1: allow; 0: denysql

access - 1: subscribe; 2: publish; 3: publish and subscribe数据库

以上规则分别表示：macos

容许任何用户发布除以 '$' 字符开头之外的任何主题的消息

拒绝任何用户订阅任何以 "$SYS/" 开头的主题

拒绝任何用户订阅 "#" 主题

容许本机用户发布任何以 "$SYS/" 开头的主题

容许本机用户发布发布除以 '$' 字符开头之外的任何主题的消息

容许 dashboard 用户订阅任何以 "$SYS/" 开头的主题

除此以外，用户能够导入自定义的 ACL 规则。服务器

Auth 与 ACL 功能验证

Mac 环境安装 mosquittoapp

brew install mosquitto测试

建立数据库，导入数据

mqtt.sql 路径可根据实际状况自行改动 mysql> create database mqtt;

mysql> use mqtt;

mysql> source ./emqx_auth_mysql/mqtt.sql

mysql> insert into mqtt_user (id, is_superuser, username, password, salt)

-> values (1, false, 'test', 'password', 'salt');

mysql> insert into mqtt_acl (id, allow, ipaddr, username, clientid, access, topic)

-> values (7, 0, NULL, 'test', NULL, 1, 'mytopic');

mysql> exit;

修改配置文件

禁止匿名访问： ## .../etc/emqx.conf

allow_anonymous = false

配置数据库中密码的加密方式为 plain ，即不加密： ## .../etc/plugins/emqx_auth_mysql.conf

auth.mysql.password_hash = plain

配置要访问的数据库以及用户名密码： ## .../etc/plugins/emqx_auth_mysql.conf

auth.mysql.username = root

auth.mysql.password = public

auth.mysql.database = mqtt

启动 EMQ X 与 emqx-auth-mysql $ ./_rel/emqx/bin/emqx start

emqx 3.1 is started successfully!

$ ./_rel/emqx/bin/emqx_ctl plugins load emqx_auth_mysql

测试

使用正确的用户名和密码进行链接，并订阅 "topic" 主题 $ mosquitto_sub -p 1883 -u test -P password -t 'topic' -d

Client mosqsub|91114-zhouzibod sending CONNECT

Client mosqsub|91114-zhouzibod received CONNACK

Client mosqsub|91114-zhouzibod sending SUBSCRIBE (Mid: 1, Topic: topic, QoS: 0)

Client mosqsub|91114-zhouzibod received SUBACK

Subscribed (mid: 1): 0

现象：链接并订阅成功

使用错误的用户名或密码进行链接，并订阅 "topic" 主题 $ mosquitto_sub -p 1883 -u bad_user -P password -t 'topic' -d

Client mosqsub|91136-zhouzibod sending CONNECT

Client mosqsub|91136-zhouzibod received CONNACK

Connection Refused: not authorised.

现象：链接被拒绝

使用正确的用户名和密码进行链接，并订阅 "#" 主题 $ mosquitto_sub -p 1883 -u test -P password -t '#' -d

Client mosqsub|11257-zhouzibod sending CONNECT

Client mosqsub|11257-zhouzibod received CONNACK

Client mosqsub|11257-zhouzibod sending SUBSCRIBE (Mid: 1, Topic: #, QoS: 0)

Client mosqsub|11257-zhouzibod received SUBACK

Subscribed (mid: 1): 128

现象：链接成功，订阅失败，缘由码128

使用正确的用户名和密码进行链接，并订阅 "mytopic" 主题 $ mosquitto_sub -p 1883 -u test -P password -t 'mytopic' -d

Client mosqsub|13606-zhouzibod sending CONNECT

Client mosqsub|13606-zhouzibod received CONNACK

Client mosqsub|13606-zhouzibod sending SUBSCRIBE (Mid: 1, Topic: mytopic, QoS: 0)

Client mosqsub|13606-zhouzibod received SUBACK

Subscribed (mid: 1): 128

现象：链接成功，订阅失败，缘由码128