EMQ最新版的是EMQX3.x.x版本,一如既往的支持Mysql认证,这里专门对Mysql认证插件做个研究,写点总结。本人能力有限,文章不足之处希望及时反馈以免误导。
首先我先描述一下我的应用场景:我要做一个后台,可以给EMQ创建客户端和客户端的ACL,从而实现对EMQ的终端进行控制。所以选择了EMQ的Mysql插件作为基础组件。
首先我们看看Mysql插件的基础文档:【传送门】,然后我们分析一下EMQ的认证流程。我们先看一下基础认证配置规则。
EMQ默认有个acl.conf文件,这个是第一步被加载进EMQ的权限文件,我们可以再这里配置一下设备的ACL:
%%——————————————————————–
%%
%% [ACL](http://emqtt.io/docs/v2/config.html#allow-anonymous-and-acl-file)
%%
%% -type who() :: all | binary() |
%% {ipaddr, esockd_access:cidr()} |
%% {client, binary()} |
%% {user, binary()}.
%%
%% -type access() :: subscribe | publish | pubsub.
%%
%% -type topic() :: binary().
%%
%% -type rule() :: {allow, all} |
%% {allow, who(), access(), list(topic())} |
%% {deny, all} |
%% {deny, who(), access(), list(topic())}.
%%
%%——————————————————————–
{allow, {user, “dashboard”}, subscribe, [“$SYS/#”]}.
{allow, {ipaddr, “127.0.0.1”}, pubsub, [“$SYS/#”, “#”]}.
{deny, all, subscribe, [“$SYS/#”, {eq, “#”}]}.
{allow, all}.
我们拿出一个规则:【{allow, {user, “dashboard”}, subscribe, [“$SYS/#”]}.】,这个表示允许用户名为dashboard的用户订阅系统topic,如果我们需要自定义ACL,只需要按照这个格式就可以,这里需要注意两点:
Erlang的注释符不要写错了,是%%,而不是#或//
规则后面有个点:【.】,这个不能丢了
配置好了以后可以通过设置mqtt客户端的username来是实现授权。
上面说完基础认证想必大家对权限配置有一定的了解了,我们继续看Mysql的认证。
准备工作: 下载最新版的EMQ,先不要运行,解压以后切换到etc目录下。 首先,打开emqx.conf,关闭匿名模式,大概在410行的位置处,把【anonymous=true】改成【anonymous=false】;然后配置ACL相关的一些内容:在大约415行处【acl_nomatch = allow】改成【acl_nomatch = deny】;445行的【acl_deny_action=ignore】改为【acl_deny_action=disconnect】。
具体改动见下表:
emqx.conf
anonymous
true
acl_nomatch
allow
acl_deny_action
disconnect
然后打开acl.conf,把不需要的规则注释了即可。
接下来需要配置一下Mysql的相关参数:
emq_auth_mysql.conf
auth.mysql.server
数据库的地址
auth.mysql.pool
连接池大小,默认是8
auth.mysql.username
数据库用户名
auth.mysql.password
数据库密码
auth.mysql.database
数据库
auth.mysql.auth_query
select password from mqttdevice where username = ‘%u’ limit 1
auth.mysql.password_hash
plain
auth.mysql.super_query
auth.mysql.super_query = select is_superuser from mqttdevice where username = ‘%u’ limit 1
auth.mysql.acl_query
auth.mysql.acl_query = select allow, ipaddr, username, clientid, access, topic from mqtt_acl where ipaddr = ‘%a’ or username = ‘%u’ or username = ‘$all’ or clientid = ‘%c’
这里是按照官网的模板直接配置的,但是有时候,可能需要整合我们自己的业务系统,所以如果要自定义自己的系统,需要注意这几个地方:
1. EMQ的mysql插件的那几个SQL,select返回字段必须按照给定的格式,例如:
select password from mqttdevice where username = ‘%u’ limit 1
其中password是必须要给出的,如果你的用户密码叫passwd,需要AS一下取个别名,这样EMQ才能识别到,否则的话会报错;
2. 关于SuperUser:SuperUser有权限订阅所有topic,一般用作特殊作用比如监控用;
3. IP地址为NULL,代表允许任何IP,而不是我们常见的0.0.0.0,如果不对IP进行过滤,这个字段全部为空即可。
总结:EMQ的Mysql插件通过SQL的形式给用户留了自定义业务实现的接口,熟悉规则以后还是很好用的。