在使用open62541验证客户端与服务器的登录方式时,在服务器端设置允许匿名登录与账号密码登录,当服务器设置为非加密时,即endpoint只有一个None时, 客户端用匿名和账号都可以登录到服务器。
但当把服务器端加密的endpoint都添加进来时,就无法用账号密码方式登录None了。
这使我十分困惑,这两个None难道不应该是同样的吗。下图为无法登录时的报错: endpoint 0是server端的None,但提示security policy 'http://opcfoundation.org/UA/SecurityPolicy#Basic256Sha256' not available。
为了研究这个问题,翻看了客户端连接服务器的代码,发现了如下部分:
static UA_StatusCode
createEndpoint(UA_ServerConfig *conf, UA_EndpointDescription *endpoint,
const UA_SecurityPolicy *securityPolicy,
UA_MessageSecurityMode securityMode) {
UA_EndpointDescription_init(endpoint);
endpoint->securityMode = securityMode;
UA_String_copy(&securityPolicy->policyUri, &endpoint->securityPolicyUri);
endpoint->transportProfileUri =
UA_STRING_ALLOC("http://opcfoundation.org/UA-Profile/Transport/uatcp-uasc-uabinary");
/* Add security level value for the corresponding message security mode */
endpoint->securityLevel = (UA_Byte) securityMode;
/* Enable all login mechanisms from the access control plugin */
UA_StatusCode retval = UA_Array_copy(conf->accessControl.userTokenPolicies,
conf->accessControl.userTokenPoliciesSize,
(void **)&endpoint->userIdentityTokens,
&UA_TYPES[UA_TYPES_USERTOKENPOLICY]);
if(retval != UA_STATUSCODE_GOOD)
return retval;
endpoint->userIdentityTokensSize = conf->accessControl.userTokenPoliciesSize;
UA_String_copy(&securityPolicy->localCertificate, &endpoint->serverCertificate);
UA_ApplicationDescription_copy(&conf->applicationDescription, &endpoint->server);
return UA_STATUSCODE_GOOD;
}
在创建endpoint时,会对每一个用户令牌都添加一个安全策略。据此分析,客户端登录失败时的报错,十有八九是这个令牌的安全策略搞的鬼,所以需要找令牌的安全策略在哪里被设置的。
在server的初始配置函数UA_ServerConfig_setDefaultWithSecurityPolicies中,发现了下面这个函数:
retval = UA_AccessControl_default(conf, true,
&conf->securityPolicies[conf->securityPoliciesSize-1].policyUri,
usernamePasswordsSize, usernamePasswords);
进入其中,发现了问题的答案:
if(usernamePasswordLoginSize > 0) {
ac->userTokenPolicies[policies].tokenType = UA_USERTOKENTYPE_USERNAME;
ac->userTokenPolicies[policies].policyId = UA_STRING_ALLOC(USERNAME_POLICY);
if(!ac->userTokenPolicies[policies].policyId.data)
return UA_STATUSCODE_BADOUTOFMEMORY;
return UA_ByteString_copy(userTokenPolicyUri,
&ac->userTokenPolicies[policies].securityPolicyUri);
}
也就是在server的初始配置中,会把最后配置给server的安全策略也配置给账号密码的令牌,按照我的上述使用,配置过加密方式后,securityPoliciesSize的最后一位,正好就是Basic256Sha256,这与客户端的报错正好对应,在没有使用加密的安全模式之前,securityPoliciesSize的最后一位还是None,此时用非加密的客户端登录,就能匹配上账号密码令牌None的安全模式。