RocketMQ ACL（访问控制列表）详解

🚀 RocketMQ ACL（访问控制列表）详解

安全控制：生产/消费权限管理

在生产环境中，消息系统的安全性至关重要。
RocketMQ 提供了 ACL（Access Control List，访问控制列表） 机制，用于对客户端（Producer/Consumer）进行身份认证和权限控制，防止未授权访问、消息篡改或恶意消费。

本文将深入解析 RocketMQ ACL 的设计原理、配置方式、权限模型、使用场景与最佳实践。

---

一、什么是 RocketMQ ACL？

✅ 定义：

ACL（访问控制列表） 是 RocketMQ 的安全模块，用于：

• 身份认证（Authentication）：验证客户端是否合法
• 权限控制（Authorization）：控制客户端能否生产/消费某个 Topic

类比：小区门禁系统，只有登记的住户才能进出。

---

二、ACL 的核心功能

功能	说明
✅ 身份认证	支持用户名/密码认证
✅ 权限控制	控制对 Topic 的 PUB（生产）、SUB（消费）权限
✅ 白名单支持	可配置 IP 白名单，增强安全性
✅ 动态更新	权限可热更新，无需重启 Broker
✅ 与主从同步兼容	权限信息自动同步到 Slave

---

三、ACL 的权限模型

1. 权限主体：AccessKey + SecretKey

• 每个客户端使用一对密钥进行身份认证
• AccessKey：用户名
• SecretKey：密码（Base64 编码）

2. 权限类型

权限	说明
PUB	允许向指定 Topic 发送消息
SUB	允许订阅并消费指定 Topic
DENY	明确拒绝（优先级最高）

3. 资源范围：Topic

• 权限以 Topic 为单位进行控制
• 支持通配符：
  • *：所有 Topic
  • ORDER_*：前缀匹配

---

四、ACL 的工作流程

1. 客户端（Producer/Consumer）连接 Broker
   ↓
2. 发送请求（如 send、pull）
   ↓
3. Broker 的 AclHandler 拦截请求
   ↓
4. 提取 AccessKey 进行身份认证
   ↓
5. 根据配置检查该用户是否有对应 Topic 的 PUB/SUB 权限
   ↓
6. 通过 → 处理请求
   ↓
7. 拒绝 → 返回 NO_PERMISSION 异常

✅ 所有请求（生产、消费、查询）都会被 ACL 拦截。

---

五、如何开启 ACL？

1. Broker 端开启 ACL

在 broker.conf 中配置：

# 开启 ACL 功能
aclEnable=true

重启 Broker 生效。

---

2. 配置权限规则文件

默认路径：$ROCKETMQ_HOME/conf/plain_acl.yml

示例配置：

# 全局白名单（优先级最高）
globalWhiteRemoteAddresses:
  - 127.0.0.1
  - 192.168.0.100

# 用户权限列表
accounts:
  # 用户 1：订单服务
  - accessKey: OrderProducer
    secretKey: 12345678
    # 允许生产
    whiteRemoteAddress:
    admin: false
    defaultTopicPerm: DENY
    defaultGroupPerm: SUB
    topicPerms:
      - topicA=PUB
      - topicB=PUB|SUB
    groupPerms:
      - producer_group=SUB
      - consumer_group=PUB|SUB

  # 用户 2：数据分析服务
  - accessKey: DataConsumer
    secretKey: 87654321
    whiteRemoteAddress:
    admin: false
    defaultTopicPerm: DENY
    defaultGroupPerm: SUB
    topicPerms:
      - topicB=SUB
      - topicC=SUB
    groupPerms:
      - data_analyzer_group=SUB

配置说明：

字段	说明
accessKey / secretKey	客户端认证凭据
whiteRemoteAddress	该用户的 IP 白名单（可空）
admin	是否为管理员（拥有所有权限）
defaultTopicPerm	默认 Topic 权限（DENY 安全）
topicPerms	明确授权的 Topic 权限
groupPerms	消费者组权限（SUB）

⚠️ 注意：secretKey 应使用 org.apache.rocketmq.srvutil.AuthUtil 生成加密值（非明文）。

---

六、客户端使用 ACL

✅ 生产者配置：

DefaultMQProducer producer = new DefaultMQProducer("producer_group");
producer.setNamesrvAddr("192.168.0.1:9876");

// 设置 ACL 证书
SessionCredentials credentials = new SessionCredentials("OrderProducer", "12345678");
producer.setSessionCredentials(credentials);

producer.start();

✅ 消费者配置：

DefaultMQPushConsumer consumer = new DefaultMQPushConsumer("consumer_group");
consumer.setNamesrvAddr("192.168.0.1:9876");

// 设置 ACL 证书
SessionCredentials credentials = new SessionCredentials("DataConsumer", "87654321");
consumer.setSessionCredentials(credentials);

consumer.subscribe("topicB", "*");
consumer.start();

---

七、ACL 的典型应用场景

场景	ACL 配置方案
多租户隔离	不同业务线使用不同 AccessKey，权限隔离
只读消费者	给监控系统分配 SUB 权限，禁止生产
核心 Topic 保护	仅允许特定服务生产（如支付消息）
灰度发布控制	给灰度环境分配特定 Topic 权限
防止误操作	测试环境禁止生产关键 Topic

---

八、ACL 的限制与注意事项

限制	说明
❌ 不支持 RBAC（角色模型）	基于用户直接授权
⚠️ 配置文件需同步到所有 Broker	手动或通过配置中心管理
⚠️ SecretKey 明文风险	建议加密存储
⚠️ 性能开销	每次请求增加认证和权限检查
⚠️ 不支持动态注册用户	需提前配置

✅ 建议：结合 配置中心（如 Nacos、Apollo） 管理 plain_acl.yml，实现动态更新。

---

九、常见问题排查

问题	可能原因	解决方案
NO_PERMISSION 异常	AccessKey 无权限	检查 topicPerms 配置
认证失败	SecretKey 错误	检查密钥是否加密
IP 被拒绝	不在白名单	添加到 whiteRemoteAddress
ACL 未生效	aclEnable=false	开启配置并重启
权限修改不生效	未触发 reload	修改后等待或手动触发

---

十、最佳实践建议

实践	说明
✅ 生产环境必须开启 ACL	防止未授权访问
✅ 为每个服务分配独立 AccessKey	便于权限管理和审计
✅ 遵循最小权限原则	只授予必要权限
✅ 敏感密钥加密存储	使用 AuthUtil.encipher 加密 secretKey
✅ 配置 IP 白名单	增加一层防护
✅ 定期轮换密钥	提升安全性
✅ 结合日志审计	记录权限变更和访问行为

---

✅ 总结

维度	说明
核心功能	身份认证 + 生产/消费权限控制
实现方式	plain_acl.yml + AccessKey/SecretKey
权限粒度	Topic 级别，支持通配符
是否推荐	✅ 生产环境强烈推荐
性能影响	轻量级，可接受

🚀 一句话总结：
RocketMQ ACL 是消息系统的“安全门禁” ——
它确保只有“持证上岗”的服务才能生产或消费消息，
是构建安全、可控、可审计消息平台的基石能力。

掌握 ACL 配置，你就能在多服务、多租户环境下，构建出高安全、高隔离的 RocketMQ 集群。