了解了 Clientid 认证后,现在我们再来了解下 Mysql 插件认证以及访问控制,默认关闭了匿名认证
一、创建用户表和控制表
根据官方文档,用户表的名称为:mqtt_user,访问控制表的名称为:mqtt_acl
mqtt_user
CREATE TABLE mqtt_user (
id int(11) unsigned NOT NULL AUTO_INCREMENT,
username varchar(8) DEFAULT NULL COMMENT 'mqtt用户名',
password varchar(12) DEFAULT NULL COMMENT 'mqtt密码',
salt varchar(20) DEFAULT NULL COMMENT '加盐随机变量',
is_superuser tinyint(1) DEFAULT 0 COMMENT '是否为超级用户: 0=否1=是',
create_time datetime DEFAULT NULL COMMENT '创建时间',
modify_time datetime DEFAULT NULL COMMENT '修改时间',
PRIMARY KEY (id),
UNIQUE KEY uk_username (username)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='mqtt用户表';
mqtt_acl
CREATE TABLE mqtt_acl (
id int(11) unsigned NOT NULL AUTO_INCREMENT,
allow int(1) DEFAULT NULL COMMENT '是否允许连接: 0=拒绝1=允许',
ipaddr varchar(60) DEFAULT NULL COMMENT 'mqtt客户端IP地址',
username varchar(8) NOT NULL COMMENT 'mqtt用户名',
clientid varchar(100) DEFAULT NULL COMMENT 'clientId',
access int(2) NOT NULL COMMENT '行为类型: 1=订阅2=发布3=订阅+发布',
topic varchar(100) NOT NULL DEFAULT '' COMMENT '主题',
create_time datetime DEFAULT NULL COMMENT '创建时间',
modify_time datetime DEFAULT NULL COMMENT '修改时间',
PRIMARY KEY (id)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='mqtt权限控制表';
二、配置mysql认证
在 etc/plugins 目录下修改 emq_auth_mysql.conf 配置文件
cd /usr/local/emqtt/emqttd/etc/plugins
vim emq_auth_mysql.conf
添加数据库连接配置,保存并退出
## MySQL server address.
##
## Value: Port | IP:Port
##
## Examples: 3306, 127.0.0.1:3306, localhost:3306
auth.mysql.server = 127.0.0.1:3306
## MySQL pool size.
##
## Value: Number
auth.mysql.pool = 8
## MySQL username.
##
## Value: String
auth.mysql.username = root
## MySQL password.
##
## Value: String
auth.mysql.password = root
## MySQL database.
##
## Value: String
auth.mysql.database = mqtt
开启 mysql 认证插件
第一种方式:emqttd_ctl plugins load emq_auth_mysql
第二种方式:在 web 管理控制台中开启该插件
重启服务,使插件生效
三、测试
emqtt 的 mysql 插件默认开启 sha256 加密,其他加密方式如下图,其中 plain 表示明文不加密
此时我在数据库中配置了
username:admin
password:8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca1c923adc6c92 (123456)
在项目中配置了
username:admin
password:123456
clientid: mqtt-client
topic: MQTT
此时我们再启动项目时,只有正确地配置了用户名和密码之后,才可以连接成功,否则会报异常
(当项目启动连接到 emqtt 服务时,emqtt 服务会自动将项目里配置的明文密码,使用 sha256 进行加密,然后与数据库中存储的密文进行比较,如果相等则连接成功,如果不相等则连接失败)
四、对密码进行加盐加密
所谓加盐,就是对明文密码前面或后面加上一个随机字符串,然后再对整个字符串进行加密,增强了密码的安全性
cd /usr/local/emqtt/emqttd/etc/plugins
vim emq_auth_mysql.conf
修改 mysql 查询语句和密码加密方式,保存并退出
## Authentication query.
##
## Note that column names should be 'password' and 'salt' (if used).
## In case column names differ in your DB - please use aliases,
## e.g. "my_column_name as password".
##
## Value: SQL
##
## Variables:
## - %u: username
## - %c: clientid
##
auth.mysql.auth_query = select password, salt from mqtt_user where username = '%u' limit 1
## auth.mysql.auth_query = select password_hash as password from mqtt_user where username = '%u' limit 1
## Password hash.
##
## Value: plain | md5 | sha | sha256 | bcrypt
## auth.mysql.password_hash = sha256
## sha256 with salt prefix
auth.mysql.password_hash = salt,sha256
重启服务,使配置生效
此处在 auth.mysql.auth_query 查询语句中,需要将 salt 也一并查出,并将加密方式 auth.mysql.password_hash 改为 salt,sha256 (例如:明文密码是 123456,salt 是 admin,则将 admin123456 使用 sha256 进行加密后,把得到的密文存储到数据库中)
salt,sha256:表示 salt 在前,明文密码在后,拼接成字符串后使用 sha256 进行加密
sha256,salt:表示明文密码在前,salt 在后,拼接成字符串后使用 sha256 进行加密
salt,sha256,salt:像这样明文密码前后都加 salt,我试了好多次,emqtt 并不支持
五、测试
此时我在数据库中配置了
username:admin
password:ac0e7d037817094e9e0b4441f9bae3209d67b02fa484917065f71b16109a1a78 (admin123456)
salt:admin
在项目中配置了
username:admin
password:123456
clientid: mqtt-client
topic: MQTT
此时我们再启动项目时,只有正确地配置了用户名和密码之后,才可以连接成功,否则会报异常
六、配置 mysql 权限控制
此外,我们可以对连接到 emqtt 的客户端进行进一步的控制 (权限控制),在这之前,我们还需要关闭默认鉴权行为
cd /usr/local/emqtt/emqttd/etc
vim emq.conf
找到 mqtt.acl_nomatch,将值改为 deny,保存并退出
## Default behaviour when ACL nomatch.
##
## Value: allow | deny
mqtt.acl_nomatch = deny
cd /usr/local/emqtt/emqttd/etc/plugins
vim emq_auth_mysql.conf
修改 mysql 鉴权查询语句,保存并退出
## ACL query.
##
## Value: SQL
##
## Variables:
## - %a: ipaddr
## - %u: username
## - %c: clientid
auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic from mqtt_acl where username = '%u'
重启服务,使配置生效
此处根据自身的权限控制需求,修改 auth.mysql.acl_query 鉴权查询语句
username = ‘%u’:表示当前连接到emqtt服务的用户名
username = ‘$all’:表示所有连接到emqtt服务的用户名
七、测试
此时我在数据库中配置了
allow:1
ipaddr: 本地客户端IP地址
username:admin
clientid: mqtt-client
access: 1
topic: MQTT/#
在项目中配置了
username:admin
password:123456
clientid: mqtt-client
topic: MQTT
此时我们再启动项目时,只有正确地配置了用户名、密码、clientid、topic 之后 (根据鉴权查询语句来灵活配置),才可以连接成功,否则会报异常
八、启动超级用户
emqtt 的 mysql 插件还可以配置超级用户,超级用户可以跳过所有的访问控制,直接连接到 emqtt 服务
在数据库中直接将 is_superuser 字段设置为 1 即可
此时我在数据库中配置了
allow:1
ipaddr: 本地客户端IP地址
username:admin
clientid: mqtt-client
access: 1
topic: MQTT/#
is_superuser: 1
在项目中配置了
username:admin
password:123456
clientid: mqtt-client
topic: MQTT
此时我们再启动项目时,只要正确地配置了用户名和密码之后,就可以连接成功
例如:访问控制设置只能订阅 (access = 1),而本地服务器调用了发布 (access = 2) 的方法,因此理论上是发布不了的,而 admin 用户已经被设为了超级用户,所以就可以发布消息
