Emqtt -- 05 -- Mysql插件认证及访问控制
原文链接:Emqtt – 05 – Mysql插件认证及访问控制
相关文章:
Emqtt – 01 – 服务搭建
Emqtt – 02 – 搭建本地项目
Emqtt – 03 – 用户密码认证
Emqtt – 04 – Clientid认证
Emqtt – 05 – Mysql插件认证及访问控制
Emqtt – 06 – Redis插件认证及访问控制
Emqtt – 07 – HTTP插件认证及访问控制
了解了 Clientid 认证后,现在我们再来了解下 Mysql 插件认证以及访问控制,默认关闭了匿名认证
一、创建用户表和控制表
根据官方文档,用户表的名称为:mqtt_user,访问控制表的名称为:mqtt_acl
mqtt_user
CREATE TABLE mqtt_user (id int(11) unsigned NOT NULL AUTO_INCREMENT,username varchar(8) DEFAULT NULL COMMENT 'mqtt用户名',password varchar(12) DEFAULT NULL COMMENT 'mqtt密码',salt varchar(20) DEFAULT NULL COMMENT '加盐随机变量',is_superuser tinyint(1) DEFAULT 0 COMMENT '是否为超级用户: 0=否1=是',create_time datetime DEFAULT NULL COMMENT '创建时间',modify_time datetime DEFAULT NULL COMMENT '修改时间',PRIMARY KEY (id),UNIQUE KEY uk_username (username) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='mqtt用户表';
mqtt_acl
CREATE TABLE mqtt_acl (id int(11) unsigned NOT NULL AUTO_INCREMENT,allow int(1) DEFAULT NULL COMMENT '是否允许连接: 0=拒绝1=允许',ipaddr varchar(60) DEFAULT NULL COMMENT 'mqtt客户端IP地址',username varchar(8) NOT NULL COMMENT 'mqtt用户名',clientid varchar(100) DEFAULT NULL COMMENT 'clientId',access int(2) NOT NULL COMMENT '行为类型: 1=订阅2=发布3=订阅+发布',topic varchar(100) NOT NULL DEFAULT '' COMMENT '主题',create_time datetime DEFAULT NULL COMMENT '创建时间',modify_time datetime DEFAULT NULL COMMENT '修改时间',PRIMARY KEY (id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='mqtt权限控制表';
二、配置 mysql 认证
在 etc/plugins 目录下修改 emq_auth_mysql.conf 配置文件
cd /usr/local/emqtt/emqttd/etc/plugins
vim emq_auth_mysql.conf
## MySQL server address. ## ## Value: Port | IP:Port ## ## Examples: 3306, 127.0.0.1:3306, localhost:3306 auth.mysql.server = 127.0.0.1:3306## MySQL pool size. ## ## Value: Number auth.mysql.pool = 8## MySQL username. ## ## Value: String auth.mysql.username = root## MySQL password. ## ## Value: String auth.mysql.password = root## MySQL database. ## ## Value: String auth.mysql.database = mqtt
:wq
开启 mysql 认证插件
第一种方式:emqttd_ctl plugins load emq_auth_mysql
第二种方式:在 web 管理控制台中开启该插件
重启服务,使插件生效
三、测试
emqtt 的 mysql 插件默认开启 sha256 加密,其他加密方式如下图,其中 plain 表示明文不加密
此时我在数据库中配置了
username:admin
password:8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 (123456)
在项目中配置了
username:admin
password:123456
clientid: mqtt-client
topic: MQTT
此时我们再启动项目时,只有正确地配置了用户名和密码之后,才可以连接成功,否则会报异常
- 当项目启动连接到 emqtt 服务时,emqtt 服务会自动将项目里配置的明文密码,使用 sha256 进行加密,然后与数据库中存储的密文进行比较,如果相等则连接成功,如果不相等则连接失败
- 当项目启动连接到 emqtt 服务时,emqtt 服务会自动将项目里配置的明文密码,使用 sha256 进行加密,然后与数据库中存储的密文进行比较,如果相等则连接成功,如果不相等则连接失败
四、对密码进行加盐加密
所谓加盐,就是对明文密码前面或后面加上一个随机字符串,然后再对整个字符串进行加密,增强了密码的安全性
cd /usr/local/emqtt/emqttd/etc/plugins
vim emq_auth_mysql.conf
## Authentication query. ## ## Note that column names should be 'password' and 'salt' (if used). ## In case column names differ in your DB - please use aliases, ## e.g. "my_column_name as password". ## ## Value: SQL ## ## Variables: ## - %u: username ## - %c: clientid ## auth.mysql.auth_query = select password, salt from mqtt_user where username = '%u' limit 1 ## auth.mysql.auth_query = select password_hash as password from mqtt_user where username = '%u' limit 1## Password hash. ## ## Value: plain | md5 | sha | sha256 | bcrypt ## auth.mysql.password_hash = sha256## sha256 with salt prefix auth.mysql.password_hash = salt,sha256
此处在 auth.mysql.auth_query 查询语句中,需要将 salt 也一并查出,并将加密方式 auth.mysql.password_hash 改为 salt,sha256 (例如:明文密码是 123456,salt 是 admin,则将 admin123456 使用 sha256 进行加密后,把得到的密文存储到数据库中)
salt,sha256:表示 salt 在前,明文密码在后,拼接成字符串后使用 sha256 进行加密
sha256,salt:表示明文密码在前,salt 在后,拼接成字符串后使用 sha256 进行加密
salt,sha256,salt:像这样明文密码前后都加 salt,我试了好多次,emqtt 并不支持
:wq
重启服务,使配置生效
五、测试
此时我在数据库中配置了
username:admin
password:ac0e7d037817094e9e0b4441f9bae3209d67b02fa484917065f71b16109a1a78 (admin123456)
salt:admin
在项目中配置了
username:admin
password:123456
clientid: mqtt-client
topic: MQTT
此时我们再启动项目时,只有正确地配置了用户名和密码之后,才可以连接成功,否则会报异常
六、配置 mysql 权限控制
此外,我们可以对连接到 emqtt 的客户端进行进一步的控制 (权限控制),在这之前,我们还需要关闭默认鉴权行为
cd /usr/local/emqtt/emqttd/etc
vim emq.conf
找到 mqtt.acl_nomatch,将值改为 deny,保存并退出
## Default behaviour when ACL nomatch. ## ## Value: allow | deny mqtt.acl_nomatch = deny
cd /usr/local/emqtt/emqttd/etc/plugins
vim emq_auth_mysql.conf
## ACL query. ## ## Value: SQL ## ## Variables: ## - %a: ipaddr ## - %u: username ## - %c: clientid auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic from mqtt_acl where username = '%u'
此处根据自身的权限控制需求,修改 auth.mysql.acl_query 鉴权查询语句
username = ‘%u’:表示当前连接到emqtt服务的用户名
username = ‘$all’:表示所有连接到emqtt服务的用户名
:wq
重启服务,使配置生效
七、测试
此时我在数据库中配置了
allow:1
ipaddr: 本地客户端IP地址
username:admin
clientid: mqtt-client
access: 1
topic: MQTT/#
在项目中配置了
username:admin
password:123456
clientid: mqtt-client
topic: MQTT
此时我们再启动项目时,只有正确地配置了用户名、密码、clientid、topic 之后 (根据鉴权查询语句来灵活配置),才可以连接成功,否则会报异常
八、启动超级用户
emqtt 的 mysql 插件还可以配置超级用户,超级用户可以跳过所有的访问控制,直接连接到 emqtt 服务
在数据库中直接将 is_superuser 字段设置为 1 即可
此时我在数据库中配置了
allow:1
ipaddr: 本地客户端IP地址
username:admin
clientid: mqtt-client
access: 1
topic: MQTT/#
is_superuser: 1
在项目中配置了
username:admin
password:123456
clientid: mqtt-client
topic: MQTT
此时我们再启动项目时,只要正确地配置了用户名和密码之后,就可以连接成功
例如:访问控制设置只能订阅 (access = 1),而本地服务器调用了发布 (access = 2) 的方法,因此理论上是发布不了的,而 admin 用户已经被设为了超级用户,所以就可以发布消息
Emqtt -- 05 -- Mysql插件认证及访问控制相关推荐
- emqtt mysql认证_Emqtt -- 05 -- Mysql插件认证及访问控制
了解了 Clientid 认证后,现在我们再来了解下 Mysql 插件认证以及访问控制,默认关闭了匿名认证 一.创建用户表和控制表 根据官方文档,用户表的名称为:mqtt_user,访问控制表的名称为 ...
- Emqtt -- 03 -- 用户密码认证
原文链接:Emqtt – 03 – 用户密码认证 相关文章: Emqtt – 01 – 服务搭建 Emqtt – 02 – 搭建本地项目 Emqtt – 03 – 用户密码认证 Emqtt – 04 ...
- emq+mysql设置_EMQ--添加mysql认证及mysql插件访问控制
EMQ-百万级分布式开源物联网MQTT消息服务器. MQTT 认证设置 EMQ 消息服务器认证由一系列认证插件(Plugin)提供,系统支持按用户名密码.ClientID 或匿名认证. 系统默认开启匿 ...
- emq插件开发mysql_EMQ的Mysql插件
EMQ最新版的是EMQX3.x.x版本,一如既往的支持Mysql认证,这里专门对Mysql认证插件做个研究,写点总结.本人能力有限,文章不足之处希望及时反馈以免误导. 首先我先描述一下我的应用场景:我 ...
- arm qt mysql插件_Ubuntu下编译ARM平台Qt的MySQL插件
最近需要将一个程序移植到arm平台上,程序调用了MySQL数据库,所以就牵扯到将MySQL数据库移植到ARM平台上面,所以在网上大量查阅资料.在baidu文库发现了一篇文档,是wlzxlc上传的文档名 ...
- saslauthd mysql_open***使用MySQL进行认证
紧接上一篇,Open×××使用用户名密码登录之后,觉得可能本地文件的安全性不是很好,毕竟密码还是明文显示的嘛,所以这次鼓捣Open×××使用MySQL进行认证.部署环境什么的,依然参考上一篇中的配置, ...
- 时代亿信 认证墙-UAP统一认证与访问控制产品
1.1 产品简介 UAP统一认证与访问控制产品 (以下简称UAP产品)集数字证书.动态口令.指纹.短信等强身份认证方式于一身, 是一个针对B/S.C/S架构应用系统的强身份认证及资源整合解决方案,对 ...
- 【2021-07-31 更新】【梳理】简明操作系统原理 第十九章 身份认证和访问控制(docx)
配套教材: Operating Systems: Three Easy Pieces Remzi H. Arpaci-Dusseau Andrea C. Arpaci-Dusseau Peter Re ...
- MySQL插件(一)介绍
插件 简介 插件类型 加载和卸载插件 简介 在第一节中提到,MySQL 是支持动态可插拔的储存引擎体系架构. 而储存引擎其实也是一种插件类型,所以在继续储存引擎的后续介绍之前,有必要先来了解一下MyS ...
最新文章
- 尽快卸载这两款恶意浏览器插件!已有近 50 万用户安装
- 实验室启动postgresql 8.4备忘
- maven工程拆分与聚合的思想
- 【小题目】判断一个数字是否是3的倍数
- tlwr886n发挥最大网速_路由器中的2.4G和5G有什么区别?用错了网速变“龟速”
- eks volumn s3_和平精英:SMG战队无缘总决赛,S3前提退场原因一览
- 在O(1)的时间内删除链表节点
- Raki的读paper小记:Soft Gazetteers for Low-Resource Named Entity Recognition
- notebook打开外部文件_NOTEBOOK文件扩展名 - 什么是.notebook以及如何打开? - ReviverSoft...
- 单元刚度矩阵 C++
- 嵌入式linux应用开发之常用shell脚本总结
- 算术编码 matlab程序,算术编码算法的matlab实现
- CMD 命令 复制多级子目录特定文件
- ROS | 服务通信的编程实现
- 还在为 520 发愁吗?教你用 Python 写个表白神器
- 量子态层析(quantum state tomography)
- Navicata查看已经创建MySql的触发器
- Unity 之 UGUI代码生成UI设置为相对位置问题
- Hadoop启动错误:WARNING log4j.properties is not found. HADOOP_CONF_DIR may be incomplete
- 【技术分享】什么是K折交叉验证?