在閱讀該教程之前,假定你已經了解 MQTT、MQTT 5 以及 EMQ X 的簡單知識。
emqx-auth-MySQL 它通過檢查每個終端接入的 username 和 password 是否與用戶指定 的 MySQL 數據庫中存儲的信息一致來實現對終端的訪問控制。其功能邏輯如下:
本文假設 MySQL 已經安裝在您的機器上,并且您可以連接到 MySQL 服務器。注:EMQ X 開源版至 v3.1-beta.2 為止,尚不支持 MySQL 8.0,因此以下內容僅適用于 MySQL 5.7 及以下版本。
$ mysql --version mysql Ver 14.14 Distrib 5.7.25, for macos10.14 (x86_64) using EditLine wrApper
插件配置項說明
mqtt.sql
emqx-auth-mysql 提供了 mqtt.sql 文件幫助用戶快速創建數據表以及導入默認數據。mqtt.sql 將會為 mqtt_acl 數據表導入以下默認規則:
mysql> select * from mqtt_acl; +----+-------+-----------+-----------+----------+--------+--------+ | id | allow | ipaddr | username | clientid | access | topic | +----+-------+-----------+-----------+----------+--------+--------+ | 1 | 1 | NULL | $all | NULL | 2 | # | | 2 | 0 | NULL | $all | NULL | 1 | $SYS/# | | 3 | 0 | NULL | $all | NULL | 1 | eq # | | 4 | 1 | 127.0.0.1 | NULL | NULL | 2 | $SYS/# | | 5 | 1 | 127.0.0.1 | NULL | NULL | 2 | # | | 6 | 1 | NULL | dashboard | NULL | 1 | $SYS/# | +----+-------+-----------+-----------+----------+--------+--------+ 6 rows in set (0.00 sec)
allow - 1: allow; 0: deny
access - 1: subscribe; 2: publish; 3: publish and subscribe
以上規則分別表示:
- 允許任何用戶發布除以 '$' 字符開頭以外的任何主題的消息
- 拒絕任何用戶訂閱任何以 "$SYS/" 開頭的主題
- 拒絕任何用戶訂閱 "#" 主題
- 允許本機用戶發布任何以 "$SYS/" 開頭的主題
- 允許本機用戶發布發布除以 '$' 字符開頭以外的任何主題的消息
- 允許 dashboard 用戶訂閱任何以 "$SYS/" 開頭的主題
除此之外,用戶可以導入自定義的 ACL 規則。
Auth 與 ACL 功能驗證
- Mac 環境安裝 mosquitto
- brew install mosquitto
- 創建數據庫,導入數據
- mqtt.sql 路徑可根據實際情況自行改動
mysql> create database mqtt; mysql> use mqtt; mysql> source ./emqx_auth_mysql/mqtt.sql mysql> insert into mqtt_user (id, is_superuser, username, password, salt) -> values (1, false, 'test', 'password', 'salt'); mysql> insert into mqtt_acl (id, allow, ipaddr, username, clientid, access, topic) -> values (7, 0, NULL, 'test', NULL, 1, 'mytopic'); mysql> exit;
- 修改配置文件
- 禁止匿名訪問:
## .../etc/emqx.conf allow_anonymous = false
- 配置數據庫中密碼的加密方式為 plain ,即不加密:
## .../etc/plugins/emqx_auth_mysql.conf auth.mysql.password_hash = plain
- 配置要訪問的數據庫以及用戶名密碼:
## .../etc/plugins/emqx_auth_mysql.conf auth.mysql.username = root auth.mysql.password = public auth.mysql.database = mqtt
- 啟動 EMQ X 與 emqx-auth-mysql
$ ./_rel/emqx/bin/emqx start emqx 3.1 is started successfully! $ ./_rel/emqx/bin/emqx_ctl plugins load emqx_auth_mysql
- 測試
- 使用正確的用戶名和密碼進行連接,并訂閱 "topic" 主題
$ mosquitto_sub -p 1883 -u test -P password -t 'topic' -d Client mosqsub|91114-zhouzibod sending CONNECT Client mosqsub|91114-zhouzibod received CONNACK Client mosqsub|91114-zhouzibod sending SUBSCRIBE (Mid: 1, Topic: topic, QoS: 0) Client mosqsub|91114-zhouzibod received SUBACK Subscribed (mid: 1): 0
- 現象:連接并訂閱成功
- 使用錯誤的用戶名或密碼進行連接,并訂閱 "topic" 主題
$ mosquitto_sub -p 1883 -u bad_user -P password -t 'topic' -d Client mosqsub|91136-zhouzibod sending CONNECT Client mosqsub|91136-zhouzibod received CONNACK Connection Refused: not authorised.
- 現象:連接被拒絕
- 使用正確的用戶名和密碼進行連接,并訂閱 "#" 主題
$ mosquitto_sub -p 1883 -u test -P password -t '#' -d Client mosqsub|11257-zhouzibod sending CONNECT Client mosqsub|11257-zhouzibod received CONNACK Client mosqsub|11257-zhouzibod sending SUBSCRIBE (Mid: 1, Topic: #, QoS: 0) Client mosqsub|11257-zhouzibod received SUBACK Subscribed (mid: 1): 128
- 現象:連接成功,訂閱失敗,原因碼128
- 使用正確的用戶名和密碼進行連接,并訂閱 "mytopic" 主題
$ mosquitto_sub -p 1883 -u test -P password -t 'mytopic' -d Client mosqsub|13606-zhouzibod sending CONNECT Client mosqsub|13606-zhouzibod received CONNACK Client mosqsub|13606-zhouzibod sending SUBSCRIBE (Mid: 1, Topic: mytopic, QoS: 0) Client mosqsub|13606-zhouzibod received SUBACK Subscribed (mid: 1): 128
- 現象:連接成功,訂閱失敗,原因碼128
