EMQ--添加mysql认证及mysql插件访问控制

本文主要是介绍EMQ--添加mysql认证及mysql插件访问控制，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

EMQ-百万级分布式开源物联网MQTT消息服务器。

MQTT 认证设置

EMQ 消息服务器认证由一系列认证插件(Plugin)提供，系统支持按用户名密码、ClientID 或匿名认证。

系统默认开启匿名认证(anonymous)，通过加载认证插件可开启的多个认证模块组成认证链:


----------------           ----------------           ------------
Client --> | Username认证 | -ignore-> | ClientID认证 | -ignore-> | 匿名认证 |
----------------           ----------------           ------------
|                         |                         |
\|/                       \|/                       \|/
allow | deny              allow | deny              allow | deny

注解

EMQ 2.0 消息服务器还提供了 MySQL、PostgreSQL、Redis、MongoDB、HTTP、LDAP 认证插件。

1. 首先，当然是禁用匿名认证了，不然你的mqtt服务器任何都可以连接，岂不是很危险。

进入emqttd安装目录的etc

修改etc目录下的emq.conf文件， vim emq.conf 找到 mqtt.all_anonymous配置项将其置为false

2. Mysql插件认证

通过 MySQL 数据库表认证，可创建如下的 ‘mqtt_user’ 表:


CREATE TABLE `mqtt_user` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(100) DEFAULT NULL,
  `password` varchar(100) DEFAULT NULL,
  `salt` varchar(20) DEFAULT NULL,
  `is_superuser` tinyint(1) DEFAULT 0,
  `created` datetime DEFAULT NULL,
PRIMARY KEY (`id`),
  UNIQUE KEY `mqtt_username` (`username`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;

etc/plugins/emq_auth_mysql.conf 配置 ‘super_query’, ‘auth_query’, ‘password_hash’:


## Mysql Server 数据库的ip:port
auth.mysql.server = 127.0.0.1:3306
 
## Mysql Pool Size  池大小
auth.mysql.pool = 8
 
## Mysql Username  用户名(根据实际情况填写，别问为什么是xxx)
auth.mysql.username =  xxx
 
## Mysql Password  密码
auth.mysql.password =  xxx
 
## Mysql Database  数据库实例的名字
auth.mysql.database = mqtt
 
## Variables: %u = username, %c = clientid
 
## Authentication Query: select password only
auth.mysql.auth_query = select password from mqtt_user where username = '%u' limit 1
 
## Password hash: plain, md5, sha, sha256, pbkdf2
## 密码加密方式 sha256,md5等 也可以加盐 salt,这个稍后细细道来
auth.mysql.password_hash = sha256
 
## %% Superuser Query
auth.mysql.super_query = select is_superuser from mqtt_user where username = '%u' limit 1

以上配置项的值根据自身填写。

需要注意，当你的密码是通过md5+salt加密的时候，需要修改2个配置项


## Authentication Query: select password only
## sql语句同时也需将salt查出来，肯定 你事先肯定要存入表中。
auth.mysql.auth_query = select password,salt from mqtt_user where username = '%u' limit 1
 
## 加密方式为 md5 + salt 盐在密码后
auth.mysql.password_hash = md5,salt

ok，这样mysql插件认证搞定。

访问控制(ACL)

MQ 消息服务器通过 ACL(Access Control List) 实现 MQTT 客户端访问控制。

ACL 访问控制规则定义:

允许(Allow)|拒绝(Deny) 谁(Who) 订阅(Subscribe)|发布(Publish) 主题列表(Topics)

MQTT 客户端发起订阅/发布请求时，EMQ 消息服务器的访问控制模块，会逐条匹配 ACL 规则，直到匹配成功为止:


---------              ---------              ---------
Client -> | Rule1 | --nomatch--> | Rule2 | --nomatch--> | Rule3 | --> Default
---------              ---------              ---------
|                      |                      |
match                  match                  match
\|/                    \|/                    \|/
allow | deny           allow | deny           allow | deny

默认访问控制设置

EMQ 消息服务器默认访问控制，在 etc/emq.conf 中设置:


## ACL nomatch
mqtt.acl_nomatch = allow
 
## Default ACL File
mqtt.acl_file = etc/acl.conf

ACL 规则定义在 etc/acl.conf，EMQ 启动时加载到内存:


%% Allow 'dashboard' to subscribe '$SYS/#'
{allow, {user, "dashboard"}, subscribe, ["$SYS/#"]}.
 
%% Allow clients from localhost to subscribe any topics
{allow, {ipaddr, "127.0.0.1"}, pubsub, ["$SYS/#", "#"]}.
 
%% Deny clients to subscribe '$SYS#' and '#'
{deny, all, subscribe, ["$SYS/#", {eq, "#"}]}.
 
%% Allow all by default
{allow, all}.

1. mysql插件的访问控制

MySQL 插件访问控制，通过 mqtt_acl 表定义 ACL 规则:


CREATE TABLE `mqtt_acl` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `allow` int(1) DEFAULT NULL COMMENT '0: deny, 1: allow',
  `ipaddr` varchar(60) DEFAULT NULL COMMENT 'IpAddress',
  `username` varchar(100) DEFAULT NULL COMMENT 'Username',
  `clientid` varchar(100) DEFAULT NULL COMMENT 'ClientId',
  `access` int(2) NOT NULL COMMENT '1: subscribe, 2: publish, 3: pubsub',
  `topic` varchar(100) NOT NULL DEFAULT '' COMMENT 'Topic Filter',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
 
INSERT INTO mqtt_acl (id, allow, ipaddr, username, clientid, access, topic)
VALUES
(1,1,NULL,'$all',NULL,2,'#'),
(2,0,NULL,'$all',NULL,1,'$SYS/#'),
(3,0,NULL,'$all',NULL,1,'eq #'),
(5,1,'127.0.0.1',NULL,NULL,2,'$SYS/#'),
(6,1,'127.0.0.1',NULL,NULL,2,'#'),
(7,1,NULL,'dashboard',NULL,1,'$SYS/#');

etc/plugins/emq_auth_mysql.conf 配置 ‘acl_query’ 与 ‘acl_nomatch’:


## ACL Query Command 
##这个语句 基本不用改动，如果表名为mqtt_acl,字段也相同
auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic from mqtt_acl where ipaddr = '%a' or username = '%u' or username = '$all' or clientid = '%c'