emqx开启mysql插件进行动态认证鉴权

已于 2023-03-29 15:41:53 修改
阅读量3.6k 收藏 9
点赞数 2
分类专栏: EMQ 文章标签: emqx
于 2020-05-03 22:42:10 首次发布
Mr.Qu
本文链接:https://blog.youkuaiyun.com/qq_37949192/article/details/105908717
版权

                                        emqx开启mysql插件

一、简述

  1. 采用emqx搭建mqtt服务器,基于主题(topic)的发布订阅模式。在线上项目中使用,肯定要进行动态的认证和topic权限鉴权,动态管理连接emqx的用户名和密码,以及用户对应的主题权限,本文采用外接mysql形式进行用户管理。

二、开启插件前准备好数据库

  1. 在mysql中创建好插件所需要的的表用户表和acl权限表(默认用户表为‘mqtt_user’,acl权限表为‘mqtt_acl’)
    1. 建表语句如下: 
      CREATE TABLE `mqtt_user` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(100) DEFAULT NULL,
  `password` varchar(100) DEFAULT NULL,
  `salt` varchar(35) DEFAULT NULL,
  `is_superuser` tinyint(1) DEFAULT 0,
  `created` datetime DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `mqtt_username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;


CREATE TABLE `mqtt_acl` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `allow` int(1) DEFAULT 1 COMMENT '0: deny, 1: allow',
  `ipaddr` varchar(60) DEFAULT NULL COMMENT 'IpAddress',
  `username` varchar(100) DEFAULT NULL COMMENT 'Username',
  `clientid` varchar(100) DEFAULT NULL COMMENT 'ClientId',
  `access` int(2) NOT NULL COMMENT '1: subscribe, 2: publish, 3: pubsub',
  `topic` varchar(100) NOT NULL DEFAULT '' COMMENT 'Topic Filter',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
  2. 表字段说明   
  • allow:禁止(0),允许(1)
  • ipaddr:设置 IP 地址
  • username:连接客户端的用户名,此处的值如果设置为 $all 表示该规则适用于所有的用户
  • clientid:连接客户端的 Client ID
  • access:允许的操作:订阅(1),发布(2),订阅发布都可以(3)
  • topic:控制的主题,可以使用通配符,并且可以在主题中加入占位符来匹配客户端信息,例如 t/%c则在匹配时主题将会替换为当前客户端的 Client ID
    • %u:用户名
    • %c:Client ID

三、mysql插件修改

1、首先把emqx安装目录下的etc/emqx.conf中配置修改:

## 将匿名访问禁止掉,默认是开启的,无需用户名和密码即可连接emqx。
allow_anonymous = false

## 如果没有匹配的ACL规则,则拒绝;默认是允许的。
acl_nomatch = deny

2、修改mysql插件配置里面的信息(位于emqx的etc/plugins/emqx_auth_mysql.conf):

第一步:修改mysql连接信息,

# etc/plugins/emqx_auth_mysql.conf

## mysql所在服务器地址和ip端口号
auth.mysql.server = 127.0.0.1:3306

## 连接池大小
auth.mysql.pool = 8

## 连接mysql数据库的用户名
auth.mysql.username = emqx

## 连接mysql数据库的密码
auth.mysql.password = public

## mqtt_user和mqtt_acl这两张表所属的数据库
auth.mysql.database = mqtt

auth.mysql.query_timeout = 5s

第二步:设置密码加密方式和认证sql查询语句

##    根据用户名查询用户密码的sql。
auth.mysql.auth_query = select password from mqtt_user where username = '%u' limit 1


##    plain使用明文连接,不加密,即连接emqx的密码和数据库中的密码一致
auth.mysql.password_hash = plain

可以在认证 SQL 中使用以下占位符,执行时 EMQ X 将自动填充为客户端信息:

  • %u:用户名
  • %c:Client ID
  • %C:TLS 证书公用名(证书的域名或子域名),仅当 TLS 连接时有效
  • %d:TLS 证书 subject,仅当 TLS 连接时有效

也可以根据自己的业务需要调整认证sql,如添加多个查询条件、使用数据库预处理函数,以实现更多业务相关的功能。

注: 查询结果只能有一条,多条结果时只取第一条作为有效数据。

如果启用了加盐配置,查询结果中必须包含 salt 字段,EMQ X 使用该字段作为 salt(盐)值。

查询结果必须包含password,若表中密码字段为pwd则此处查询的password使用as语法;例如pwd as password。

若不想使用mqtt_user这个表名,则需要这个地方查询语句中的表名和数据库中表名保持一致即可。

第三步:acl鉴权查询语句开启(默认是开启状态,则无需改动)

 超级用户SQL(super_query)

进行 ACL 鉴权时,EMQ X 将使用当前客户端信息填充并执行用户配置的超级用户 SQL,查询客户端是否为超级用户。客户端为超级用户时将跳过 ACL SQL。

  1. 查询结果中必须包含 is_superuser 字段,is_superuser 应该显式的为 true
  2. 查询结果只能有一条,多条结果时只取第一条作为有效数据

注:如果不需要超级用户功能,注释并禁用该选项能有效提高效率。

ACL SQL(acl_query)

进行 ACL 鉴权时,EMQ X 将使用当前客户端信息填充并执行用户配置的超级用户 SQL,如果没有启用超级用户 SQL 或客户端不是超级用户,则使用 ACL SQL 查询出该客户端在数据库中的 ACL 规则。

  1. 查询结果中必须包含 allow、access、topic、clientid、username、ipaddr 字段,如果字段不想参与比对则使用 $all 字符串或者数据库 NULL 值
  2. 查询结果可以有多条,多条结果时按照从上到下的顺序进行匹配

注:可以在 SQL 中调整查询条件、指定排序方式实现更高效率的查询。

以上操作均在Linux环境下,Windows环境下可能会存在异常(PS:本人遇到过)                                                 

3、emqx_auth_mysql批量定义ACL
longyi_java的专栏
08-31 497
emqx_auth_mysql批量定义ACL 参考 https://blog.youkuaiyun.com/u011142688/article/details/79852325 参考 https://blog.youkuaiyun.com/u011142688/article/details/79852306 参考 https://www.jianshu.com/p/65935a753eab 在初始...
emqx接通mysql_EMQX认证(一)——基于MySQL的MQTT连接认证
weixin_40009207的博客
01-19 936
前言安全保护几乎对于所有的项目都是一个挑战,对于物联网项目更是如,自普及应用以来物联网业内已经发生过多起安全事故。作为物联网通信协议事实标准,MQTT 保持着较高的安全性,提供了多层次的安全设计:传输层:MQTT 基于 TCP/IP 协议,可以在传输层上使用 SSL/TLS 进行加密传输:使用 SSL/TLS 加密通信数据,防止中间人攻击;使用客户端证书作为设备身份凭证,验证设备合法性。应用层:使...
localhost拒绝连接_EMQ X 认证(一)—— 基于 MySQL 的 MQTT 连接认证
weixin_39809793的博客
11-28 756
前言 安全保护几乎对于所有的项目都是一个挑战,对于物联网项目更是如,自普及应用以来物联网业内已经发生过多起安全事故。作为物联网通信协议事实标准,MQTT 保持着较高的安全性,提供了多层次的安全设计:传输层:MQTT 基于 TCP/IP 协议,可以在传输层上使用 SSL/TLS 进行加密传输:使用 SSL/TLS 加密通信数据,防止中间人攻击;使用客户端证书作为设备身...
物联网入门----下载EMQX服务器与Mysql
最新发布
weixin_42847269的博客
01-20 1262
更新后再下载会发现提示GPG key错误,这里可以关闭gpgcheck,在刚刚的repo文件修改:将repo文件中每个gpgcheck改为0在这个网页下载服务器注意Install the dependencies时要加sudo给开启emqx服务器后可以打开emqx的dashboard,在网页搜索http://{自己的ip}:18083就可以打开首次登录的账号是admin,密码是public,进去后可以自己修改密码。
emq mysql_EMQ的Mysql插件
weixin_35656580的博客
01-27 674
EMQ最新版的是EMQX3.x.x版本,一如既往的支持Mysql认证,这里专门对Mysql认证插件做个研究,写点总结。本人能力有限,文章不足之处希望及时反馈以免误导。首先我先描述一下我的应用场景:我要做一个后台,可以给EMQ创建客户端和客户端的ACL,从而实现对EMQ的终端进行控制。所以选择了EMQ的Mysql插件作为基础组件。首先我们看看Mysql插件的基础文档:【传送门】,然后我们分析一下EM...
emq 消息持久化 mysql_# EMQ X 持久化插件系列(一)- 消息存储到 OpenTSDB 数据库
weixin_39521835的博客
02-11 301
OpenTSDB 是可扩展的分布式时序数据库,底层依赖 HBase 并充分发挥了HBase的分布式列存储特性,支持数百万每秒的读写。面对大规模快速增长的物联网传感器采集、交易记录等数据,时间序列数据累计速度非常快,时序数据库通过提高效率来处理这种大规模数据,并带来性能的提升,包括:更高的容纳率(Ingest Rates)、更快的大规模查询(尽管有一些比其他数据库支持更多的查询)以及更好的数据压缩。...
关于EMQXMYSQL认证插件使用配置心得
JoshRong的博客
02-26 4182
免费 配置 ACL
emqx接通mysql_EMQ X 认证(一)——基于 MySQL 的 MQTT 连接认证
weixin_31002061的博客
01-19 1130
前言安全保护几乎对于所有的项目都是一个挑战,对于物联网项目更是如,自普及应用以来物联网业内已经发生过多起安全事故。作为物联网通信协议事实标准,MQTT 保持着较高的安全性,提供了多层次的安全设计:传输层:MQTT 基于 TCP/IP 协议,可以在传输层上使用 SSL/TLS 进行加密传输:使用 SSL/TLS 加密通信数据,防止中间人攻击;使用客户端证书作为设备身份凭证,验证设备合法性。应用层:使...
emq auth mysql_EMQ X 认证(一)——基于 MySQL 的 MQTT 连接认证
weixin_36278982的博客
02-01 395
前言安全保护几乎对于所有的项目都是一个挑战,对于物联网项目更是如,自普及应用以来物联网业内已经发生过多起安全事故。作为物联网通信协议事实标准,MQTT 保持着较高的安全性,提供了多层次的安全设计:传输层:MQTT 基于 TCP/IP 协议,可以在传输层上使用 SSL/TLS 进行加密传输:使用 SSL/TLS 加密通信数据,防止中间人攻击;使用客户端证书作为设备身份凭证,验证设备合法性。应用层:使...
emqx启用MySQL 认证 / 访问控制
白泽的博客
02-17 2338
MySQL 认证 / 访问控制即插件emqx_auth_mysqlemqx运行中加载插件(其他插件修改插件名称即可) ./bin/emqx_ctl plugins load emqx_auth_mysql 需要在 etc/plugins/emqx_auth_mysql.conf 中配置以下内容: ## 服务器地址 auth.mysql.server = 127.0.0.1:3306 ## 连接池大小 auth.mysql.pool = 8 ##数据库连接用户名 auth.mysql.use
emq与mysql_EMQ X 基于 MySQL 的 MQTT 连接认证
weixin_39676930的博客
02-23 560
EMQ X 基于 MySQL 的 MQTT 连接认证2020-12-28 12:52:52 创建数据库你可以使用任何自己喜欢的 客户端,创建好相应的数据库。这里用的是 MySQL 自带的命令行客户端,打开 MySQL 的控制台,如下所示,创建一个名为 emqx认证数据库,并切换到 emqx 数据库。mysql> create database emqx;Query OK, 1 row a...
EMQ的Mysql插件
chengsixu6384的博客
07-08 1115
EMQ最新版的是EMQX3.x.x版本,一如既往的支持Mysql认证,这里专门对Mysql认证插件做个研究,写点总结。本人能力有限,文章不足之处希望及时反馈以免误导。 首先我先描述一下我的应用场景:我要做一个后台,可以给EMQ创建客户端和客户端的ACL,从而实...
EMQX 启用MySQL ACL 限控制功能
DTCloud
03-13 455
没有启用认证插件认证插件没有显式允许/拒绝(ignore)连接请求时,EMQX 将根据匿名认证启用情况决定是否允许客户端连接。EMQX 中的认证指的是当一个客户端连接到 EMQX 的时候,通过服务器端的配置来控制客户端连接服务器的限。· topic:控制的主题,可以使用通配符,并且可以在主题中加入占位符来匹配客户端信息,例t/%c则在匹配时主题将会替换为当前客户端的 Client ID。· access:允许的操作:订阅(1),发布(2),订阅发布都可以(3)· allow:禁止(0),允许(1)
emq auth mysql_基于 MySQL 的 EMQ X Auth & ACL
weixin_36411280的博客
01-26 235
在阅读该教程之前,假定你已经了解 MQTT、MQTT 5 以及 EMQ X 的简单知识。emqx-auth-mysql 它通过检查每个终端接入的 username 和 password 是否与用户指定 的 MySQL 数据库中存储的信息一致来实现对终端的访问控制。其功能逻辑如下:本文假设 MySQL 已经安装在您的机器上,并且您可以连接到 MySQL 服务器。注:EMQ X 开源版至 v3.1-b...
EMQX数据持久化到MySQLemqx_persistence_mysql插件推荐
gitblog_00527的博客
09-13 1311
EMQX数据持久化到MySQLemqx_persistence_mysql插件推荐 项目地址:https://gitcode.com/gh_mirrors/em/emqx_persistence_plugin 项目介绍 emqx_persistence_mysql 是一个专为EMQX社区版设计的增强型插件,旨在将EMQX的消息数据持久化到MySQL数据库中。该插件由社区开发者贡献,非官方出品,...
emqx使用mysql完成用户密码验证和ACL
u011089760的博客
05-06 5941
摘要:前几篇博客介绍的是使用配置文件配置了ACL和客户端用户名密码配置实现生产环境下的安全登录和限控制,各项配置比较繁琐,修改起来比较麻烦,下面介绍使用mysql进行统一的管理控制。 环境说明: 1.linux系统下,centos 7环境 2.使用docker运行emqtt服务器,参照:https://blog.youkuaiyun.com/u011089760/artic...
emq插件开发mysql,关于java:EMQ-X-基于-MySQL-的-MQTT-连接认证
weixin_42529328的博客
03-13 421
创立数据库你能够应用任何本人喜爱的 客户端,创立好相应的数据库。这里用的是 MySQL 自带的命令行客户端,关上 MySQL 的控制台,如下所示,创立一个名为 emqx认证数据库,并切换到 emqx 数据库。mysql> create database emqx;Query OK, 1 row affected (0.00 sec)mysql> use emqx;Database ...
EMQX集成Kafka插件emqx_plugin_kafka,安装EMQX(二)
程序小猿洁的博客
11-16 6045
上一章主要说明了安装kafka前期的一些步骤,包括安装jdk1.8、zookeeper等,接下来主要就是通过源码编译安装emqx了,由于emqx是由erlang语言编写的,要想通过源码来编译安装emqx,那指定少不了erlang了。
emqx安装mysql插件
01-08
### 如何为 EMQX Broker 安装 MySQL 插件 为了使 EMQX 支持与 MySQL 数据库交互的功能,通常会通过安装相应的插件来实现。以下是具体的操作指南: #### 准备工作 确保已经成功部署并运行了 EMQX Broker 的环境。 #### 下载和配置 MySQL 插件 访问官方文档或 GitHub 仓库获取最新版本的 `emqx-auth-mysql` 插件源码或者预编译包[^1]。如果采用二进制文件的方式,则可以直接下载适用于当前系统的 tarball 或者 deb/rpm 包形式;如果是从源代码构建的话,则需按照项目 Readme 中给出的方法执行编译命令。 对于大多数 Linux 发行版而言,可以使用如下方式快速完成安装过程: ```bash # 添加 emqx apt 源 (仅当需要时) sudo wget https://repos.emqx.io/emqx-deb-pkg.key -O- | sudo gpg --dearmor -o /usr/share/keyrings/emqx-archive-keyring.gpg echo "deb [signed-by=/usr/share/keyrings/emqx-archive-keyring.gpg] https://repos.emqx.io/debian $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/emqx.list sudo apt update # 安装 emqxmysql 认证插件 sudo apt install emqx emqx-auth-mysql ``` #### 配置连接参数 编辑 `/etc/emqx/emqx.conf` 文件中的 `[mysql]` 节点下的各项属性以适配本地数据库实例的信息,例如主机地址、端口、用户名以及密码等字段: ```ini ## MySQL server address, default is localhost:3306 auth.mysql.server = "tcp(localhost:3306)" ## Database name used by EMQ X auth.mysql.database = "mqtt" ## Username and password for accessing the database auth.mysql.username = "root" auth.mysql.password = "" ... ``` #### 启动服务并验证功能正常运作 重启 EMQX 使得新的配置生效,并利用客户端工具测试能否顺利登录到代理服务器上。 ```bash sudo systemctl restart emqx.service ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Qubb

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值