本文主要是介绍emq连接认证,订阅发布权限控制,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
emq连接认证,订阅发布权限控制
连接认证
我这里使用的是HTTP认证方式,简单无代码侵入
EMQ X 默认配置中启用了匿名认证,任何客户端都能接入 EMQ X。没有启用认证插件或认证插件没有显式允许/拒绝(ignore)连接请求时,EMQ X 将根据匿名认证启用情况决定是否允许客户端连接。
关闭匿名认证
修改匿名认证开关false:
# etc/emqx.conf## Value: true | false
allow_anonymous = false认证请求
官方文档地址: https://docs.emqx.cn/broker/v4.3/advanced/auth-http.html#%E8%AE%A4%E8%AF%81%E5%8E%9F%E7%90%86
进行身份认证时,EMQ X 将使用当前客户端信息填充并发起用户配置的认证查询请求,查询出该客户端在 HTTP 服务器端的认证数据。
配置http连接认证接口
# etc/plugins/emqx_auth_http.conf## 请求地址
auth.http.auth_req.url = http://127.0.0.1:8080/auth/isAuth.json## HTTP 请求方法
## Value: post | get | put
auth.http.auth_req.method = post## 认证请求的 HTTP 请求头部,默认情况下配置 Content-Type 头部。
## Content-Type 头部目前支持以下值:application/x-www-form-urlencoded,application/json
auth.http.auth_req.headers.content_type = application/json## 请求参数
auth.http.auth_req.params = clientid=%c,username=%u,password=%P
EMQ X 在设备连接事件中使用当前客户端相关信息作为参数,向用户自定义的认证服务发起请求查询权限,通过返回的 HTTP 响应状态码 (HTTP statusCode) 来处理认证请求。
- 认证失败:API 返回 4xx 状态码
- 认证成功:API 返回 200 状态码
- 忽略认证:API 返回 200 状态码且消息体 ignore
订阅发布HTTP ACL授权
配置http连接认证接口
super user请求接口
超级用户(superuser)
客户端可拥有“超级用户”身份,超级用户拥有最高权限不受 ACL 限制。
- 认证鉴权插件启用超级用户功能后,发布订阅时 EMQ X 将优先检查客户端超级用户身份
- 客户端为超级用户时,通过授权并跳过后续 ACL 检查
首先查询客户端是否为超级用户,客户端为超级用户时将跳过 ACL 查询。
# etc/plugins/emqx_auth_http.conf## 请求地址
auth.http.super_req.url = http://127.0.0.1:8080/auth/isSuper.json## HTTP 请求方法
## Value: post | get | put
auth.http.super_req.method = postauth.http.super_req.headers.content-type = application/json## 请求参数
auth.http.super_req.params = clientid=%c,username=%u
ACL授权查询请求
官方文档地址: https://docs.emqx.cn/broker/v4.3/advanced/acl-http.html#acl-%E6%8E%88%E6%9D%83%E5%8E%9F%E7%90%86
不是超级用户时,查询有没有订阅发布的权限
# etc/plugins/emqx_auth_http.conf## 请求地址
auth.http.acl_req.url = http://127.0.0.1:8080/auth/isPermission.json## HTTP 请求方法
## Value: post | get | put
auth.http.acl_req.method = postauth.http.acl_req.headers.content-type = application/json## 请求参数
auth.http.acl_req.params = access=%A,username=%u,clientid=%c,topic=%tEMQ X 在设备发布、订阅事件中使用当前客户端相关信息作为参数,向用户自定义的认证服务发起请求权限,通过返回的 HTTP 响应状态码 (HTTP statusCode) 来处理 ACL 授权请求。
- 无权限:API 返回 4xx 状态码
- 授权成功:API 返回 200 状态码
- 忽略授权:API 返回 200 状态码且消息体 ignore
ACL 缓存
ACL 缓存允许客户端在命中某条 ACL 规则后,便将其缓存至内存中,以便下次直接使用,客户端发布、订阅频率较高的情况下开启 ACL 缓存可以提高 ACL 检查性能。
在 etc/emqx.conf 可以配置 ACL 缓存大小与缓存时间:
# etc/emqx.conf## 是否启用
enable_acl_cache = on## 单个客户端最大缓存规则数量
acl_cache_max_size = 32## 缓存失效时间,超时后缓存将被清除
acl_cache_ttl = 1m
清除ACL缓存
当权限发生改变,或删除权限时,此时有缓存,还是可以正常订阅发布数据,需要清除缓存
在更新 ACL 规则后,某些客户端由于已经存在缓存,则无法立即生效。若要立即生效,则需手动清除所有的 ACL 缓存:
调用HTTP API接口
官方文档地址: https://docs.emqx.cn/broker/v4.3/advanced/http-api.html#%E5%AE%A2%E6%88%B7%E7%AB%AF
首先根据用户名查询到连接信息
$ curl -i --basic -u admin:public -X GET "http://localhost:8081/api/v4/clients/username/steve"查询到的连接信息里找到clientid,清除 ACL 缓存
$ curl -i --basic -u admin:public -X DELETE "http://localhost:8081/api/v4/clients/123456/acl_cache" 查询指定客户端的 ACL 缓存
$ curl -i --basic -u admin:public -X GET "http://localhost:8081/api/v4/clients/123456/acl_cache"踢除指定客户端。注意踢除客户端操作会将连接与会话一并终结。
$ curl -i --basic -u admin:public -X DELETE "http://localhost:8081/api/v4/clients/123456"
这篇关于emq连接认证,订阅发布权限控制的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
