身份認(rèn)證是大多數(shù)應(yīng)用的重要組成部分���,EMQ X 中的認(rèn)證指的是當(dāng)一個(gè)客戶端連接到 EMQ X 的時(shí)候,通過(guò)服務(wù)器端的配置來(lái)控制客戶端連接服務(wù)器的權(quán)限�����。
EMQ X 的認(rèn)證支持包括兩個(gè)層面:
? MQTT 協(xié)議本身在 CONNECT 報(bào)文中指定用戶名和密碼��,EMQ X 以插件形式支持基于 Username�、
ClientID、HTTP�、JWT、LDAP 及各類數(shù)據(jù)庫(kù)如 MongoDB�����、MySQL�����、PostgreSQL�����、Redis 等多種形式的認(rèn) 證。
? 在傳輸層上���,TLS 可以保證使用客戶端證書的客戶端到服務(wù)器的身份驗(yàn)證�,并確保服務(wù)器向客戶端驗(yàn)證服 務(wù)器證書�����。也支持基于 PSK 的 TLS/DTLS
認(rèn)證�����。
認(rèn)證方式
EMQ X 支持使用內(nèi)置數(shù)據(jù)源(文件��、內(nèi)置數(shù)據(jù)庫(kù))����、JWT、外部主流數(shù)據(jù)庫(kù)和自定義 HTTP API 作為身份認(rèn)證 數(shù)據(jù)源���。
連接數(shù)據(jù)源����、進(jìn)行認(rèn)證邏輯通過(guò)插件實(shí)現(xiàn)的����,每個(gè)插件對(duì)應(yīng)一種認(rèn)證方式,使用前需要啟用相應(yīng)的插件����。 客戶端連接時(shí)插件通過(guò)檢查其
username/clientid 和 password 是否與指定數(shù)據(jù)源的信息一致來(lái)實(shí)現(xiàn)對(duì)客戶端的身份認(rèn)證。
EMQ X 支持的認(rèn)證方式:
內(nèi)置數(shù)據(jù)源
? Username 認(rèn)證
? Cliend ID 認(rèn)證
使用配置文件與 EMQ X 內(nèi)置數(shù)據(jù)庫(kù)提供認(rèn)證數(shù)據(jù)源����,通過(guò) HTTP API 進(jìn)行管理,足夠簡(jiǎn)單輕量�。
外部數(shù)據(jù)庫(kù)
? LDAP 認(rèn)證
? MySQL 認(rèn)證
? PostgreSQL 認(rèn)證
? Redis 認(rèn)證
? MongoDB 認(rèn)證
外部數(shù)據(jù)庫(kù)可以存儲(chǔ)大量數(shù)據(jù),同時(shí)方便與外部設(shè)備管理系統(tǒng)集成���。
其他
? HTTP 認(rèn)證
? JWT 認(rèn)證
JWT 認(rèn)證可以批量簽發(fā)認(rèn)證信息�,HTTP 認(rèn)證能夠?qū)崿F(xiàn)復(fù)雜的認(rèn)證鑒權(quán)邏輯�。 更改插件配置后需要重啟插件才能生效,部分認(rèn)證鑒權(quán)插件包含 ACL
功能
認(rèn)證結(jié)果
任何一種認(rèn)證方式最終都會(huì)返回一個(gè)結(jié)果:
認(rèn)證成功:經(jīng)過(guò)比對(duì)客戶端認(rèn)證成功
認(rèn)證失?��。航?jīng)過(guò)比對(duì)客戶端認(rèn)證失敗����,數(shù)據(jù)源中密碼與當(dāng)前密碼不一致忽略認(rèn)證(ignore):當(dāng)前認(rèn)證方式中未查找到認(rèn)證數(shù)據(jù)���,無(wú)法顯式判斷結(jié)果是成功還是失敗���,交由認(rèn)
證鏈下一認(rèn)證方式或匿名認(rèn)證來(lái)判斷
匿名認(rèn)證
EMQ X 默認(rèn)配置中啟用了匿名認(rèn)證����,任何客戶端都能接入 EMQ X�。沒(méi)有啟用認(rèn)證插件或認(rèn)證插件沒(méi)有顯式允 許/拒絕(ignore)連接請(qǐng)求時(shí),EMQ X
將根據(jù)匿名認(rèn)證啟用情況決定是否允許客戶端連接�。
配置匿名認(rèn)證開關(guān):
# etc/emqx.conf
## Value: true | false
allow_anonymous = true
生產(chǎn)環(huán)境中請(qǐng)禁用匿名認(rèn)證。
注意:我們需要進(jìn)入到容器內(nèi)部修改該配置���,然后重啟EMQ X服務(wù)
密碼加鹽規(guī)則與哈希方法
EMQ X 多數(shù)認(rèn)證插件中可以啟用哈希方法���,數(shù)據(jù)源中僅保存密碼密文,保證數(shù)據(jù)安全�����。
啟用哈希方法時(shí)��,用戶可以為每個(gè)客戶端都指定一個(gè) salt(鹽)并配置加鹽規(guī)則���,數(shù)據(jù)庫(kù)中存儲(chǔ)的密碼是按照 加鹽規(guī)則與哈希方法處理后的密文���。
以 MySQL 認(rèn)證為例:
加鹽規(guī)則與哈希方法配置:
# etc/plugins/emqx_auth_mysql.conf
## 不加鹽��,僅做哈希處理
auth.mysql.password_hash = sha256
## salt 前綴:使用 sha256 加密 salt + 密碼 拼接的字符串
auth.mysql.password_hash = salt,sha256
## salt 后綴:使用 sha256 加密 密碼 + salt 拼接的字符串
auth.mysql.password_hash = sha256,salt
## pbkdf2 with macfun iterations dklen
## macfun: md4, md5, ripemd160, sha, sha224, sha256, sha384, sha512
## auth.mysql.password_hash = pbkdf2,sha256,1000,20
生成認(rèn)證信息時(shí)
1. 為每個(gè)客戶端分用戶名��、Client ID、密碼以及 salt(鹽)等信息
2. 使用與 MySQL 認(rèn)證相同加鹽規(guī)則與哈希方法處理客戶端信息得到密文
3. 將客戶端信息寫入數(shù)據(jù)庫(kù)�,客戶端的密碼應(yīng)當(dāng)為密文信息
EMQ X 身份認(rèn)證流程
1.根據(jù)配置的認(rèn)證 SQL 結(jié)合客戶端傳入的信息,查詢出密碼(密文)和 salt(鹽)等認(rèn)證數(shù)據(jù)�����,沒(méi)有查詢
結(jié)果時(shí)�,認(rèn)證將終止并返回 ignore 結(jié)果
2.根據(jù)配置的加鹽規(guī)則與哈希方法計(jì)算得到密文,沒(méi)有啟用哈希方法則跳過(guò)此步
3.將數(shù)據(jù)庫(kù)中存儲(chǔ)的密文與當(dāng)前客戶端計(jì)算的到的密文進(jìn)行比對(duì)����,比對(duì)成功則認(rèn)證通過(guò),否則認(rèn)證失敗PostgreSQL 認(rèn)證功能邏輯圖:
寫入數(shù)據(jù)的加鹽規(guī)則�����、哈希方法與對(duì)應(yīng)插件的配置一致時(shí)認(rèn)證才能正常進(jìn)行��。更改哈希方法會(huì)造成現(xiàn)有認(rèn)證數(shù) 據(jù)失效。
認(rèn)證鏈
當(dāng)同時(shí)啟用多個(gè)認(rèn)證方式時(shí)�,EMQ X 將按照插件開啟先后順序進(jìn)行鏈?zhǔn)秸J(rèn)證:
一旦認(rèn)證成功��,終止認(rèn)證鏈并允許客戶端接入��。
一旦認(rèn)證失敗,終止認(rèn)證鏈并禁止客戶端接入���。
直到最后一個(gè)認(rèn)證方式仍未通過(guò)�����,根據(jù)匿名認(rèn)證和配置判定:
匿名認(rèn)證開啟時(shí)�����,允許客戶端接入
匿名認(rèn)證關(guān)閉時(shí)��,禁止客戶端接入
同時(shí)只啟用一個(gè)認(rèn)證插件可以提高客戶端身份認(rèn)證效率���。
JavaEE
鴻蒙應(yīng)用開發(fā)
集成電路應(yīng)用開發(fā)
人工智能開發(fā)
AI+Linux云計(jì)算運(yùn)維
Python+大數(shù)據(jù)開發(fā)
AI+設(shè)計(jì)
軟件測(cè)試
新媒體+短視頻
HTML&JS+前端
文章封面圖.png)
科列表頁(yè)面右側(cè)廣告圖.jpg)
科列表頁(yè)面右側(cè)廣告圖230x148.jpg)
據(jù)學(xué)科列表頁(yè)右側(cè).png)
科列表頁(yè)面右側(cè)廣告圖.jpg)
.jpg)