Emqtt -- 05 -- Mysql插件认证及访问控制

原文链接：Emqtt – 05 – Mysql插件认证及访问控制

---

相关文章：

• Emqtt – 01 – 服务搭建

• Emqtt – 02 – 搭建本地项目

• Emqtt – 03 – 用户密码认证

• Emqtt – 04 – Clientid认证

• Emqtt – 05 – Mysql插件认证及访问控制

• Emqtt – 06 – Redis插件认证及访问控制

• Emqtt – 07 – HTTP插件认证及访问控制

---

了解了 Clientid 认证后，现在我们再来了解下 Mysql 插件认证以及访问控制，默认关闭了匿名认证

---

一、创建用户表和控制表

• 根据官方文档，用户表的名称为：mqtt_user，访问控制表的名称为：mqtt_acl

  • mqtt_user

    CREATE TABLE mqtt_user (
      id int(11) unsigned NOT NULL AUTO_INCREMENT,
      username varchar(8) DEFAULT NULL COMMENT 'mqtt用户名',
      password varchar(12) DEFAULT NULL COMMENT 'mqtt密码',
      salt varchar(20) DEFAULT NULL COMMENT '加盐随机变量',
      is_superuser tinyint(1) DEFAULT 0 COMMENT '是否为超级用户: 0=否1=是',
      create_time datetime DEFAULT NULL COMMENT '创建时间',
      modify_time datetime DEFAULT NULL COMMENT '修改时间',
      PRIMARY KEY (id),
      UNIQUE KEY uk_username (username)
    ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='mqtt用户表';
    

  • mqtt_acl

    CREATE TABLE mqtt_acl (
      id int(11) unsigned NOT NULL AUTO_INCREMENT,
      allow int(1) DEFAULT NULL COMMENT '是否允许连接: 0=拒绝1=允许',
      ipaddr varchar(60) DEFAULT NULL COMMENT 'mqtt客户端IP地址',
      username varchar(8) NOT NULL COMMENT 'mqtt用户名',
      clientid varchar(100) DEFAULT NULL COMMENT 'clientId',
      access int(2) NOT NULL COMMENT '行为类型: 1=订阅2=发布3=订阅+发布',
      topic varchar(100) NOT NULL DEFAULT '' COMMENT '主题',
      create_time datetime DEFAULT NULL COMMENT '创建时间',
      modify_time datetime DEFAULT NULL COMMENT '修改时间',
      PRIMARY KEY (id)
    ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='mqtt权限控制表';
    

---

二、配置 mysql 认证

• 在 etc/plugins 目录下修改 emq_auth_mysql.conf 配置文件

  • cd /usr/local/emqtt/emqttd/etc/plugins

  • vim emq_auth_mysql.conf

    ## MySQL server address.
    ##
    ## Value: Port | IP:Port
    ##
    ## Examples: 3306, 127.0.0.1:3306, localhost:3306
    auth.mysql.server = 127.0.0.1:3306
    
    ## MySQL pool size.
    ##
    ## Value: Number
    auth.mysql.pool = 8
    
    ## MySQL username.
    ##
    ## Value: String
    auth.mysql.username = root
    
    ## MySQL password.
    ##
    ## Value: String
    auth.mysql.password = root
    
    ## MySQL database.
    ##
    ## Value: String
    auth.mysql.database = mqtt
    

  • :wq

• 开启 mysql 认证插件

  • 第一种方式：emqttd_ctl plugins load emq_auth_mysql

  • 第二种方式：在 web 管理控制台中开启该插件

• 重启服务，使插件生效

---

三、测试

• emqtt 的 mysql 插件默认开启 sha256 加密，其他加密方式如下图，其中 plain 表示明文不加密
  

• 此时我在数据库中配置了

  • username：admin

  • password：8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 (123456)

• 在项目中配置了

  • username：admin

  • password：123456

  • clientid: mqtt-client

  • topic: MQTT

• 此时我们再启动项目时，只有正确地配置了用户名和密码之后，才可以连接成功，否则会报异常

  • 当项目启动连接到 emqtt 服务时，emqtt 服务会自动将项目里配置的明文密码，使用 sha256 进行加密，然后与数据库中存储的密文进行比较，如果相等则连接成功，如果不相等则连接失败
    

---

四、对密码进行加盐加密

• 所谓加盐，就是对明文密码前面或后面加上一个随机字符串，然后再对整个字符串进行加密，增强了密码的安全性

  • cd /usr/local/emqtt/emqttd/etc/plugins

  • vim emq_auth_mysql.conf

    ## Authentication query.
    ##
    ## Note that column names should be 'password' and 'salt' (if used).
    ## In case column names differ in your DB - please use aliases,
    ## e.g. "my_column_name as password".
    ##
    ## Value: SQL
    ##
    ## Variables:
    ##  - %u: username
    ##  - %c: clientid
    ##
    auth.mysql.auth_query = select password, salt from mqtt_user where username = '%u' limit 1
    ## auth.mysql.auth_query = select password_hash as password from mqtt_user where username = '%u' limit 1
    
    ## Password hash.
    ##
    ## Value: plain | md5 | sha | sha256 | bcrypt
    ## auth.mysql.password_hash = sha256
    
    ## sha256 with salt prefix
    auth.mysql.password_hash = salt,sha256
    

    • 此处在 auth.mysql.auth_query 查询语句中，需要将 salt 也一并查出，并将加密方式 auth.mysql.password_hash 改为 salt,sha256 (例如：明文密码是 123456，salt 是 admin，则将 admin123456 使用 sha256 进行加密后，把得到的密文存储到数据库中)

      • salt,sha256：表示 salt 在前，明文密码在后，拼接成字符串后使用 sha256 进行加密

      • sha256,salt：表示明文密码在前，salt 在后，拼接成字符串后使用 sha256 进行加密

      • salt,sha256,salt：像这样明文密码前后都加 salt，我试了好多次，emqtt 并不支持

  • :wq

• 重启服务，使配置生效

---

五、测试

• 此时我在数据库中配置了

  • username：admin

  • password：ac0e7d037817094e9e0b4441f9bae3209d67b02fa484917065f71b16109a1a78 (admin123456)

  • salt：admin

• 在项目中配置了

  • username：admin

  • password：123456

  • clientid: mqtt-client

  • topic: MQTT

• 此时我们再启动项目时，只有正确地配置了用户名和密码之后，才可以连接成功，否则会报异常
  

---

六、配置 mysql 权限控制

• 此外，我们可以对连接到 emqtt 的客户端进行进一步的控制 (权限控制)，在这之前，我们还需要关闭默认鉴权行为

  • cd /usr/local/emqtt/emqttd/etc

  • vim emq.conf

  • 找到 mqtt.acl_nomatch，将值改为 deny，保存并退出

    ## Default behaviour when ACL nomatch.
    ##
    ## Value: allow | deny
    mqtt.acl_nomatch = deny
    

  • cd /usr/local/emqtt/emqttd/etc/plugins

  • vim emq_auth_mysql.conf

    ## ACL query.
    ##
    ## Value: SQL
    ##
    ## Variables:
    ##  - %a: ipaddr
    ##  - %u: username
    ##  - %c: clientid
    auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic from mqtt_acl where username = '%u'
    

    • 此处根据自身的权限控制需求，修改 auth.mysql.acl_query 鉴权查询语句

      • username = ‘%u’：表示当前连接到emqtt服务的用户名

      • username = ‘$all’：表示所有连接到emqtt服务的用户名

  • :wq

• 重启服务，使配置生效

---

七、测试

• 此时我在数据库中配置了

  • allow：1

  • ipaddr: 本地客户端IP地址

  • username：admin

  • clientid: mqtt-client

  • access: 1

  • topic: MQTT/#

• 在项目中配置了

  • username：admin

  • password：123456

  • clientid: mqtt-client

  • topic: MQTT

• 此时我们再启动项目时，只有正确地配置了用户名、密码、clientid、topic 之后 (根据鉴权查询语句来灵活配置)，才可以连接成功，否则会报异常
  

---

八、启动超级用户

• emqtt 的 mysql 插件还可以配置超级用户，超级用户可以跳过所有的访问控制，直接连接到 emqtt 服务

• 在数据库中直接将 is_superuser 字段设置为 1 即可

  • 此时我在数据库中配置了

    • allow：1

    • ipaddr: 本地客户端IP地址

    • username：admin

    • clientid: mqtt-client

    • access: 1

    • topic: MQTT/#

    • is_superuser: 1

  • 在项目中配置了

    • username：admin

    • password：123456

    • clientid: mqtt-client

    • topic: MQTT

  • 此时我们再启动项目时，只要正确地配置了用户名和密码之后，就可以连接成功

  • 例如：访问控制设置只能订阅 (access = 1)，而本地服务器调用了发布 (access = 2) 的方法，因此理论上是发布不了的，而 admin 用户已经被设为了超级用户，所以就可以发布消息