emq+mysql设置_EMQMySQL认证和MySQL访问控制权限

MySQL 认证

MySQL 认证使用外部 MySQL 数据库作为认证数据源&＃xff0c;可以存储大量数据&＃xff0c;同时方便与外部设备管理系统集成。

插件&＃xff1a;emqx_auth_mysql

MySQL ACL

MySQL ACL 使用外部 MySQL 数据库存储 ACL 规则&＃xff0c;可以存储大量数据、动态管理 ACL&＃xff0c;方便与外部设备管理系统集成

插件&＃xff1a;emqx_auth_mysql

默认表结构

MySQL 认证插件默认配置下需要确保数据库中有以下两张数据表&＃xff0c;用于存储认证规则信息&＃xff1a;

认证/超级用户表

CREATE TABLE &＃96;mqtt_user&＃96; (

&＃96;id&＃96; int(11) unsigned NOT NULL AUTO_INCREMENT,

&＃96;username&＃96; varchar(100) DEFAULT NULL,

&＃96;password&＃96; varchar(100) DEFAULT NULL,

&＃96;salt&＃96; varchar(35) DEFAULT NULL,

&＃96;is_superuser&＃96; (1) DEFAULT 0,

&＃96;created&＃96; datetime DEFAULT NULL,

PRIMARY KEY (&＃96;id&＃96;),

UNIQUE KEY &＃96;mqtt_username&＃96; (&＃96;username&＃96;)

) ENGINE&＃61;InnoDB DEFAULT CHARSET&＃61;utf8mb4;

示例数据&＃xff1a;

-- 客户端信息

INSERT INTO &＃96;mqtt_user&＃96; ( &＃96;username&＃96;, &＃96;password&＃96;, &＃96;salt&＃96;, &＃96;is_superuser&＃96;)

VALUES

(‘emqx‘, ‘efa1f375d76194fa51a3556a97e641e61685f914d446979da50a551a4333ffd7‘, NULL, 0);

启用 MySQL 认证后&＃xff0c;可以通过用户名&＃xff1a; emqx 密码&＃xff1a;public 连接

ACL 规则表

CREATE TABLE &＃96;mqtt_acl&＃96; (

&＃96;id&＃96; int(11) unsigned NOT NULL AUTO_INCREMENT,

&＃96;allow&＃96; int(1) DEFAULT 1 COMMENT ‘0: deny, 1: allow‘,

&＃96;ipaddr&＃96; varchar(60) DEFAULT NULL COMMENT ‘IpAddress‘,

&＃96;username&＃96; varchar(100) DEFAULT NULL COMMENT ‘Username‘,

&＃96;clientid&＃96; varchar(100) DEFAULT NULL COMMENT ‘ClientId‘,

&＃96;access&＃96; int(2) NOT NULL COMMENT ‘1: subscribe, 2: publish, 3: pubsub‘,

&＃96;topic&＃96; varchar(100) NOT NULL DEFAULT ‘‘ COMMENT ‘Topic Filter‘,

PRIMARY KEY (&＃96;id&＃96;)

) ENGINE&＃61;InnoDB DEFAULT CHARSET&＃61;utf8mb4;

规则表字段说明&＃xff1a;

allow&＃xff1a;禁止(0)&＃xff0c;允许(1)

ipaddr&＃xff1a;设置 IP 地址

username&＃xff1a;连接客户端的用户名&＃xff0c;此处的值如果设置为 $all 表示该规则适用于所有的用户

clientid&＃xff1a;连接客户端的 Client ID

access&＃xff1a;允许的操作&＃xff1a;订阅(1)&＃xff0c;发布(2)&＃xff0c;订阅发布都可以(3)

topic&＃xff1a;控制的主题&＃xff0c;可以使用通配符&＃xff0c;并且可以在主题中加入占位符来匹配客户端信息&＃xff0c;例如 t/%c 则在匹配时主题将会替换为当前客户端的 Client ID

%u&＃xff1a;用户名

%c&＃xff1a;Client ID

示例数据&＃xff1a;

-- 所有用户不可以订阅系统主题

INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (0, NULL, ‘$all‘, NULL, 1, ‘$SYS/#‘);

-- 允许 10.59.1.100 上的客户端订阅系统主题

INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (1, ‘10.59.1.100‘, NULL, NULL, 1, ‘$SYS/#‘);

-- 禁止客户端订阅 /smarthome/&＃43;/temperature 主题

INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (0, NULL, NULL, NULL, 1, ‘/smarthome/&＃43;/temperature‘);

-- 允许客户端订阅包含自身 Client ID 的 /smarthome/${clientid}/temperature 主题

INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (1, NULL, NULL, NULL, 1, ‘/smarthome/%c/temperature‘);

启用 MySQL ACL 后并以用户名 emqx 成功连接后&＃xff0c;客户端应当数据具有相应的主题权限。

启用 MySQL 认证和访问控制权限&＃xff0c; 配置etc/plugins/emqx_auth_mysql.conf

## 服务器地址

auth.mysql.server &＃61; 127.0.0.1:3306## 连接池大小

auth.mysql.pool &＃61; 8

## mysql用户名auth.mysql.username &＃61; emqx## mysql密码auth.mysql.password &＃61; public##mqtt_user认证/超级用户表和mqtt_acl ACL规则表所在的数据库auth.mysql.database &＃61; mqttauth.mysql.query_timeout&＃61; 5s

## mysql加盐规则与哈希算法auth.mysql.password_hash &＃61; sha256## 认证SQL(auth_query)auth.mysql.auth_query&＃61;select password from mqtt_user where username&＃61;‘%u‘ limit1进行身份认证时&＃xff0c;EMQ X 将使用当前客户端信息填充并执行用户配置的认证 SQL&＃xff0c;查询出该客户端在数据库中的认证数据。

可以在 SQL 中使用以下占位符&＃xff0c;执行时 EMQ X 将自动填充为客户端信息&＃xff1a;

%u&＃xff1a;用户名

%c&＃xff1a;Client ID

%C&＃xff1a;TLS 证书公用名(证书的域名或子域名)&＃xff0c;仅当 TLS 连接时有效

%d&＃xff1a;TLS 证书 subject&＃xff0c;仅当 TLS 连接时有效

可以根据业务需要调整认证 SQL&＃xff0c;如添加多个查询条件、使用数据库预处理函数&＃xff0c;以实现更多业务相关的功能。但是任何情况下认证 SQL 需要满足以下条件&＃xff1a;

查询结果中必须包含 password 字段&＃xff0c;EMQ X 使用该字段与客户端密码比对

如果启用了加盐配置&＃xff0c;查询结果中必须包含 salt 字段&＃xff0c;EMQ X 使用该字段作为 salt(盐)值

查询结果只能有一条&＃xff0c;多条结果时只取第一条作为有效数据

## 超级用户SQL(super_query)auth.mysql.super_query &＃61; select is_superuser from mqtt_user where username &＃61; ‘%u‘ limit 1进行 ACL 鉴权时&＃xff0c;EMQ X 将使用当前客户端信息填充并执行用户配置的超级用户 SQL&＃xff0c;查询客户端是否为超级用户。客户端为超级用户时将跳过 ACL SQL。

可以在 SQL 中使用以下占位符&＃xff0c;执行时 EMQ X 将自动填充为客户端信息&＃xff1a;

%u&＃xff1a;用户名

%c&＃xff1a;Client ID

%C&＃xff1a;TLS 证书公用名(证书的域名或子域名)&＃xff0c;仅当 TLS 连接时有效

%d&＃xff1a;TLS 证书 subject&＃xff0c;仅当 TLS 连接时有效

可以根据业务需要调整超级用户 SQL&＃xff0c;如添加多个查询条件、使用数据库预处理函数&＃xff0c;以实现更多业务相关的功能。但是任何情况下超级用户 SQL 需要满足以下条件&＃xff1a;

查询结果中必须包含 is_superuser 字段&＃xff0c;is_superuser 应该显式的为 true

查询结果只能有一条&＃xff0c;多条结果时只取第一条作为有效数据

## ACL SQL(acl_query)auth.mysql.acl_query&＃61;select allow, ipaddr, username, clientid, access, topic from mqtt_acl where ipaddr&＃61;‘%a‘ or username&＃61;‘%u‘ or username&＃61;‘$all‘ or clientid&＃61;‘%c‘进行 ACL 鉴权时&＃xff0c;EMQ X 将使用当前客户端信息填充并执行用户配置的超级用户 SQL&＃xff0c;如果没有启用超级用户 SQL 或客户端不是超级用户&＃xff0c;则使用 ACL SQL 查询出该客户端在数据库中的 ACL 规则。

可以在 ACL SQL 中使用以下占位符&＃xff0c;执行时 EMQ X 将自动填充为客户端信息&＃xff1a;

%u&＃xff1a;用户名

%c&＃xff1a;Client ID

%C&＃xff1a;TLS 证书公用名(证书的域名或子域名)&＃xff0c;仅当 TLS 连接时有效

%d&＃xff1a;TLS 证书 subject&＃xff0c;仅当 TLS 连接时有效

可以根据业务需要调整 ACL SQL&＃xff0c;如添加多个查询条件、使用数据库预处理函数&＃xff0c;以实现更多业务相关的功能。但是任何情况下 ACL SQL 需要满足以下条件&＃xff1a;

查询结果中必须包含 allow、access、topic、clientid、username、ipaddr 字段&＃xff0c;如果字段不想参与比对则使用 $all 字符串或者数据库 NULL 值

查询结果可以有多条&＃xff0c;多条结果时按照从上到下的顺序进行匹配

原文&＃xff1a;https://www.cnblogs.com/xiaoxianxianxian/p/13191261.html