Emqtt -- 05 -- Mysql插件认证及访问控制

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/Goodbye_Youth/article/details/88045698

了解了 Clientid 认证后，现在我们再来了解下 Mysql 插件认证以及访问控制，默认关闭了匿名认证

---

一、创建用户表和控制表

根据官方文档，用户表的名称为：mqtt_user，访问控制表的名称为：mqtt_acl

• mqtt_user

  CREATE TABLE mqtt_user (
    id int(11) unsigned NOT NULL AUTO_INCREMENT,
    username varchar(8) DEFAULT NULL COMMENT 'mqtt用户名',
    password varchar(12) DEFAULT NULL COMMENT 'mqtt密码',
    salt varchar(20) DEFAULT NULL COMMENT '加盐随机变量',
    is_superuser tinyint(1) DEFAULT 0 COMMENT '是否为超级用户: 0=否1=是',
    create_time datetime DEFAULT NULL COMMENT '创建时间',
    modify_time datetime DEFAULT NULL COMMENT '修改时间',
    PRIMARY KEY (id),
    UNIQUE KEY uk_username (username)
  ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='mqtt用户表';
  

• mqtt_acl

  CREATE TABLE mqtt_acl (
    id int(11) unsigned NOT NULL AUTO_INCREMENT,
    allow int(1) DEFAULT NULL COMMENT '是否允许连接: 0=拒绝1=允许',
    ipaddr varchar(60) DEFAULT NULL COMMENT 'mqtt客户端IP地址',
    username varchar(8) NOT NULL COMMENT 'mqtt用户名',
    clientid varchar(100) DEFAULT NULL COMMENT 'clientId',
    access int(2) NOT NULL COMMENT '行为类型: 1=订阅2=发布3=订阅+发布',
    topic varchar(100) NOT NULL DEFAULT '' COMMENT '主题',
    create_time datetime DEFAULT NULL COMMENT '创建时间',
    modify_time datetime DEFAULT NULL COMMENT '修改时间',
    PRIMARY KEY (id)
  ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='mqtt权限控制表';
  

---

二、配置mysql认证

在 etc/plugins 目录下修改 emq_auth_mysql.conf 配置文件

• cd /usr/local/emqtt/emqttd/etc/plugins

• vim emq_auth_mysql.conf

• 添加数据库连接配置，保存并退出

  ## MySQL server address.
  ##
  ## Value: Port | IP:Port
  ##
  ## Examples: 3306, 127.0.0.1:3306, localhost:3306
  auth.mysql.server = 127.0.0.1:3306
  
  ## MySQL pool size.
  ##
  ## Value: Number
  auth.mysql.pool = 8
  
  ## MySQL username.
  ##
  ## Value: String
  auth.mysql.username = root
  
  ## MySQL password.
  ##
  ## Value: String
  auth.mysql.password = root
  
  ## MySQL database.
  ##
  ## Value: String
  auth.mysql.database = mqtt
  

• 开启 mysql 认证插件

  • 第一种方式：emqttd_ctl plugins load emq_auth_mysql

  • 第二种方式：在 web 管理控制台中开启该插件

• 重启服务，使插件生效

---

三、测试

emqtt 的 mysql 插件默认开启 sha256 加密，其他加密方式如下图，其中 plain 表示明文不加密

• 此时我在数据库中配置了

  • username：admin

  • password：8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 (123456)

• 在项目中配置了

  • username：admin

  • password：123456

  • clientid: mqtt-client

  • topic: MQTT

• 此时我们再启动项目时，只有正确地配置了用户名和密码之后，才可以连接成功，否则会报异常

  (当项目启动连接到 emqtt 服务时，emqtt 服务会自动将项目里配置的明文密码，使用 sha256 进行加密，然后与数据库中存储的密文进行比较，如果相等则连接成功，如果不相等则连接失败)
  

---

四、对密码进行加盐加密

所谓加盐，就是对明文密码前面或后面加上一个随机字符串，然后再对整个字符串进行加密，增强了密码的安全性

• cd /usr/local/emqtt/emqttd/etc/plugins

• vim emq_auth_mysql.conf

• 修改 mysql 查询语句和密码加密方式，保存并退出

  ## Authentication query.
  ##
  ## Note that column names should be 'password' and 'salt' (if used).
  ## In case column names differ in your DB - please use aliases,
  ## e.g. "my_column_name as password".
  ##
  ## Value: SQL
  ##
  ## Variables:
  ##  - %u: username
  ##  - %c: clientid
  ##
  auth.mysql.auth_query = select password, salt from mqtt_user where username = '%u' limit 1
  ## auth.mysql.auth_query = select password_hash as password from mqtt_user where username = '%u' limit 1
  
  ## Password hash.
  ##
  ## Value: plain | md5 | sha | sha256 | bcrypt
  ## auth.mysql.password_hash = sha256
  
  ## sha256 with salt prefix
  auth.mysql.password_hash = salt,sha256
  

• 重启服务，使配置生效

此处在 auth.mysql.auth_query 查询语句中，需要将 salt 也一并查出，并将加密方式 auth.mysql.password_hash 改为 salt,sha256(例如：明文密码是 123456，salt 是 admin，则将 admin123456 使用 sha256 进行加密后，把得到的密文存储到数据库中)

• salt,sha256：表示 salt 在前，明文密码在后，拼接成字符串后使用 sha256 进行加密

• sha256,salt：表示明文密码在前，salt 在后，拼接成字符串后使用 sha256 进行加密

• salt,sha256,salt：像这样明文密码前后都加 salt，我试了好多次，emqtt 并不支持

---

五、测试

• 此时我在数据库中配置了

  • username：admin

  • password：ac0e7d037817094e9e0b4441f9bae3209d67b02fa484917065f71b16109a1a78 (admin123456)

  • salt：admin

• 在项目中配置了

  • username：admin

  • password：123456

  • clientid: mqtt-client

  • topic: MQTT

• 此时我们再启动项目时，只有正确地配置了用户名和密码之后，才可以连接成功，否则会报异常
  

---

六、配置 mysql 权限控制

此外，我们可以对连接到 emqtt 的客户端进行进一步的控制 (权限控制)，在这之前，我们还需要关闭默认鉴权行为

• cd /usr/local/emqtt/emqttd/etc

• vim emq.conf

• 找到 mqtt.acl_nomatch，将值改为 deny，保存并退出

  ## Default behaviour when ACL nomatch.
  ##
  ## Value: allow | deny
  mqtt.acl_nomatch = deny
  

• cd /usr/local/emqtt/emqttd/etc/plugins

• vim emq_auth_mysql.conf

• 修改 mysql 鉴权查询语句，保存并退出

  ## ACL query.
  ##
  ## Value: SQL
  ##
  ## Variables:
  ##  - %a: ipaddr
  ##  - %u: username
  ##  - %c: clientid
  auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic from mqtt_acl where username = '%u'
  

• 重启服务，使配置生效

此处根据自身的权限控制需求，修改 auth.mysql.acl_query 鉴权查询语句

• username = ‘%u’：表示当前连接到emqtt服务的用户名

• username = ‘$all’：表示所有连接到emqtt服务的用户名

---

七、测试

• 此时我在数据库中配置了

  • allow：1

  • ipaddr: 本地客户端IP地址

  • username：admin

  • clientid: mqtt-client

  • access: 1

  • topic: MQTT/#

• 在项目中配置了

  • username：admin

  • password：123456

  • clientid: mqtt-client

  • topic: MQTT

• 此时我们再启动项目时，只有正确地配置了用户名、密码、clientid、topic 之后 (根据鉴权查询语句来灵活配置)，才可以连接成功，否则会报异常
  

---

八、启动超级用户

emqtt 的 mysql 插件还可以配置超级用户，超级用户可以跳过所有的访问控制，直接连接到 emqtt 服务

在数据库中直接将 is_superuser 字段设置为 1 即可

• 此时我在数据库中配置了

  • allow：1

  • ipaddr: 本地客户端IP地址

  • username：admin

  • clientid: mqtt-client

  • access: 1

  • topic: MQTT/#

  • is_superuser: 1

• 在项目中配置了

  • username：admin

  • password：123456

  • clientid: mqtt-client

  • topic: MQTT

• 此时我们再启动项目时，只要正确地配置了用户名和密码之后，就可以连接成功

  例如：访问控制设置只能订阅 (access = 1)，而本地服务器调用了发布 (access = 2) 的方法，因此理论上是发布不了的，而 admin 用户已经被设为了超级用户，所以就可以发布消息