emq+mysql设置_EMQ--添加mysql认证及mysql插件访问控制
EMQ-百萬(wàn)級(jí)分布式開(kāi)源物聯(lián)網(wǎng)MQTT消息服務(wù)器。
MQTT 認(rèn)證設(shè)置
EMQ?消息服務(wù)器認(rèn)證由一系列認(rèn)證插件(Plugin)提供,系統(tǒng)支持按用戶(hù)名密碼、ClientID 或匿名認(rèn)證。
系統(tǒng)默認(rèn)開(kāi)啟匿名認(rèn)證(anonymous),通過(guò)加載認(rèn)證插件可開(kāi)啟的多個(gè)認(rèn)證模塊組成認(rèn)證鏈:
---------------- ---------------- ------------
Client --> | Username認(rèn)證 | -ignore-> | ClientID認(rèn)證 | -ignore-> | 匿名認(rèn)證 |
---------------- ---------------- ------------
| | |
\|/ \|/ \|/
allow | deny allow | deny allow | deny
注解
EMQ 2.0 消息服務(wù)器還提供了 MySQL、PostgreSQL、Redis、MongoDB、HTTP、LDAP 認(rèn)證插件。
1. 首先,當(dāng)然是禁用匿名認(rèn)證了,不然你的mqtt服務(wù)器任何都可以連接,豈不是很危險(xiǎn)。
進(jìn)入emqttd安裝目錄的etc
修改etc目錄下的emq.conf文件, vim emq.conf 找到 mqtt.all_anonymous配置項(xiàng)將其置為false
2. Mysql插件認(rèn)證
通過(guò) MySQL 數(shù)據(jù)庫(kù)表認(rèn)證,可創(chuàng)建如下的 ‘mqtt_user’ 表:
CREATE TABLE `mqtt_user` (
`id` int(11) unsigned NOT NULL AUTO_INCREMENT,
`username` varchar(100) DEFAULT NULL,
`password` varchar(100) DEFAULT NULL,
`salt` varchar(20) DEFAULT NULL,
`is_superuser` tinyint(1) DEFAULT 0,
`created` datetime DEFAULT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `mqtt_username` (`username`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
etc/plugins/emq_auth_mysql.conf 配置 ‘super_query’, ‘a(chǎn)uth_query’, ‘password_hash’:
## Mysql Server 數(shù)據(jù)庫(kù)的ip:port
auth.mysql.server = 127.0.0.1:3306
## Mysql Pool Size 池大小
auth.mysql.pool = 8
## Mysql Username 用戶(hù)名(根據(jù)實(shí)際情況填寫(xiě),別問(wèn)為什么是xxx)
auth.mysql.username = xxx
## Mysql Password 密碼
auth.mysql.password = xxx
## Mysql Database 數(shù)據(jù)庫(kù)實(shí)例的名字
auth.mysql.database = mqtt
## Variables: %u = username, %c = clientid
## Authentication Query: select password only
auth.mysql.auth_query = select password from mqtt_user where username = '%u' limit 1
## Password hash: plain, md5, sha, sha256, pbkdf2
## 密碼加密方式 sha256,md5等 也可以加鹽 salt,這個(gè)稍后細(xì)細(xì)道來(lái)
auth.mysql.password_hash = sha256
## %% Superuser Query
auth.mysql.super_query = select is_superuser from mqtt_user where username = '%u' limit 1
以上配置項(xiàng)的值根據(jù)自身填寫(xiě)。
需要注意,當(dāng)你的密碼是通過(guò)md5+salt加密的時(shí)候,需要修改2個(gè)配置項(xiàng)
## Authentication Query: select password only
## sql語(yǔ)句同時(shí)也需將salt查出來(lái),肯定 你事先肯定要存入表中。
auth.mysql.auth_query = select password,salt from mqtt_user where username = '%u' limit 1
## 加密方式為 md5 + salt 鹽在密碼后
auth.mysql.password_hash = md5,salt
ok,這樣mysql插件 認(rèn)證搞定。
訪問(wèn)控制(ACL)
MQ?消息服務(wù)器通過(guò) ACL(Access Control List) 實(shí)現(xiàn) MQTT 客戶(hù)端訪問(wèn)控制。
ACL 訪問(wèn)控制規(guī)則定義:
允許(Allow)|拒絕(Deny) 誰(shuí)(Who) 訂閱(Subscribe)|發(fā)布(Publish) 主題列表(Topics)
MQTT 客戶(hù)端發(fā)起訂閱/發(fā)布請(qǐng)求時(shí),EMQ 消息服務(wù)器的訪問(wèn)控制模塊,會(huì)逐條匹配 ACL 規(guī)則,直到匹配成功為止:
--------- --------- ---------
Client -> | Rule1 | --nomatch--> | Rule2 | --nomatch--> | Rule3 | --> Default
--------- --------- ---------
| | |
match match match
\|/ \|/ \|/
allow | deny allow | deny allow | deny
默認(rèn)訪問(wèn)控制設(shè)置
EMQ?消息服務(wù)器默認(rèn)訪問(wèn)控制,在 etc/emq.conf 中設(shè)置:
## ACL nomatch
mqtt.acl_nomatch = allow
## Default ACL File
mqtt.acl_file = etc/acl.conf
ACL 規(guī)則定義在 etc/acl.conf,EMQ 啟動(dòng)時(shí)加載到內(nèi)存:
%% Allow 'dashboard' to subscribe '$SYS/#'
{allow, {user, "dashboard"}, subscribe, ["$SYS/#"]}.
%% Allow clients from localhost to subscribe any topics
{allow, {ipaddr, "127.0.0.1"}, pubsub, ["$SYS/#", "#"]}.
%% Deny clients to subscribe '$SYS#' and '#'
{deny, all, subscribe, ["$SYS/#", {eq, "#"}]}.
%% Allow all by default
{allow, all}.
1. mysql插件的訪問(wèn)控制
MySQL 插件訪問(wèn)控制,通過(guò) mqtt_acl 表定義 ACL 規(guī)則:
CREATE TABLE `mqtt_acl` (
`id` int(11) unsigned NOT NULL AUTO_INCREMENT,
`allow` int(1) DEFAULT NULL COMMENT '0: deny, 1: allow',
`ipaddr` varchar(60) DEFAULT NULL COMMENT 'IpAddress',
`username` varchar(100) DEFAULT NULL COMMENT 'Username',
`clientid` varchar(100) DEFAULT NULL COMMENT 'ClientId',
`access` int(2) NOT NULL COMMENT '1: subscribe, 2: publish, 3: pubsub',
`topic` varchar(100) NOT NULL DEFAULT '' COMMENT 'Topic Filter',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
INSERT INTO mqtt_acl (id, allow, ipaddr, username, clientid, access, topic)
VALUES
(1,1,NULL,'$all',NULL,2,'#'),
(2,0,NULL,'$all',NULL,1,'$SYS/#'),
(3,0,NULL,'$all',NULL,1,'eq #'),
(5,1,'127.0.0.1',NULL,NULL,2,'$SYS/#'),
(6,1,'127.0.0.1',NULL,NULL,2,'#'),
(7,1,NULL,'dashboard',NULL,1,'$SYS/#');
etc/plugins/emq_auth_mysql.conf 配置 ‘a(chǎn)cl_query’ 與 ‘a(chǎn)cl_nomatch’:
## ACL Query Command
##這個(gè)語(yǔ)句 基本不用改動(dòng),如果表名為mqtt_acl,字段也相同
auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic from mqtt_acl where ipaddr = '%a' or username = '%u' or username = '$all' or clientid = '%c'
總結(jié)
以上是生活随笔為你收集整理的emq+mysql设置_EMQ--添加mysql认证及mysql插件访问控制的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 保留小数位toFixed()方法的怪异表
- 下一篇: centos 6.5 安装 lamp 后