EMQ X支持哪些認(rèn)證方式？

EMQ X 中的認(rèn)證指的是當(dāng)一個(gè)客戶(hù)端連接到 EMQ X 的時(shí)候，通過(guò)服務(wù)器端的配置來(lái)控制客戶(hù)端連接服務(wù)器的權(quán)限。

EMQ X 的認(rèn)證支持包括兩個(gè)層面：

MQTT 協(xié)議本身在 CONNECT 報(bào)文中指定用戶(hù)名和密碼，EMQ X 以插件形式支持基于 Username、 ClientID、HTTP、JWT、LDAP 及各類(lèi)數(shù)據(jù)庫(kù)如 MongoDB、MySQL、PostgreSQL、Redis 等多種形式的認(rèn)證。

在傳輸層上，TLS 可以保證使用客戶(hù)端證書(shū)的客戶(hù)端到服務(wù)器的身份驗(yàn)證，并確保服務(wù)器向客戶(hù)端驗(yàn)證服務(wù)器證書(shū)。也支持基于 PSK 的 TLS/DTLS 認(rèn)證。

認(rèn)證方式

EMQ X 支持使用內(nèi)置數(shù)據(jù)源(文件、內(nèi)置數(shù)據(jù)庫(kù))、JWT、外部主流數(shù)據(jù)庫(kù)和自定義 HTTP API 作為身份認(rèn)證數(shù)據(jù)源。

連接數(shù)據(jù)源、進(jìn)行認(rèn)證邏輯通過(guò)插件實(shí)現(xiàn)的，每個(gè)插件對(duì)應(yīng)一種認(rèn)證方式，使用前需要啟用相應(yīng)的插件。

客戶(hù)端連接時(shí)插件通過(guò)檢查其 username/clientid 和 password 是否與指定數(shù)據(jù)源的信息一致來(lái)實(shí)現(xiàn)對(duì)客戶(hù)端的身份認(rèn)證。

EMQ X 支持的認(rèn)證方式：

內(nèi)置數(shù)據(jù)源

Username 認(rèn)證

Cliend ID 認(rèn)證

使用配置文件與 EMQ X 內(nèi)置數(shù)據(jù)庫(kù)提供認(rèn)證數(shù)據(jù)源，通過(guò) HTTP API 進(jìn)行管理，足夠簡(jiǎn)單輕量。

外部數(shù)據(jù)庫(kù)

LDAP 認(rèn)證

MySQL 認(rèn)證

PostgreSQL 認(rèn)證

Redis 認(rèn)證

MongoDB 認(rèn)證

外部數(shù)據(jù)庫(kù)可以存儲(chǔ)大量數(shù)據(jù)，同時(shí)方便與外部設(shè)備管理系統(tǒng)集成。

其他

HTTP 認(rèn)證

JWT 認(rèn)證

JWT 認(rèn)證可以批量簽發(fā)認(rèn)證信息，HTTP 認(rèn)證能夠?qū)崿F(xiàn)復(fù)雜的認(rèn)證鑒權(quán)邏輯。

更改插件配置后需要重啟插件才能生效，部分認(rèn)證鑒權(quán)插件包含 ACL 功能

認(rèn)證結(jié)果

任何一種認(rèn)證方式最終都會(huì)返回一個(gè)結(jié)果：

認(rèn)證成功：經(jīng)過(guò)比對(duì)客戶(hù)端認(rèn)證成功

認(rèn)證失?。航?jīng)過(guò)比對(duì)客戶(hù)端認(rèn)證失敗，數(shù)據(jù)源中密碼與當(dāng)前密碼不一致

忽略認(rèn)證(ignore)：當(dāng)前認(rèn)證方式中未查找到認(rèn)證數(shù)據(jù)，無(wú)法顯式判斷結(jié)果是成功還是失敗，交由認(rèn)證鏈下一認(rèn)證方式或匿名認(rèn)證來(lái)判斷。

匿名認(rèn)證

EMQ X 默認(rèn)配置中啟用了匿名認(rèn)證，任何客戶(hù)端都能接入 EMQ X。沒(méi)有啟用認(rèn)證插件或認(rèn)證插件沒(méi)有顯式允許/拒絕(ignore)連接請(qǐng)求時(shí)，EMQ X 將根據(jù)匿名認(rèn)證啟用情況決定是否允許客戶(hù)端連接。

配置匿名認(rèn)證開(kāi)關(guān)：

# etc/emqx.conf
## Value: true | false
allow_anonymous = true

生產(chǎn)環(huán)境中請(qǐng)禁用匿名認(rèn)證。

注意：我們需要進(jìn)入到容器內(nèi)部修改該配置，然后重啟EMQ X服務(wù)。

# etc/plugins/emqx_auth_mysql.conf

## 不加鹽，僅做哈希處理
auth.mysql.password_hash = sha256

## salt 前綴：使用 sha256 加密 salt + 密碼 拼接的字符串
auth.mysql.password_hash = salt,sha256

## salt 后綴：使用 sha256 加密 密碼 + salt 拼接的字符串
auth.mysql.password_hash = sha256,salt

## pbkdf2 with macfun iterations dklen
## macfun: md4, md5, ripemd160, sha, sha224, sha256, sha384, sha512
## auth.mysql.password_hash = pbkdf2,sha256,1000,20

如何生成認(rèn)證信息

1. 為每個(gè)客戶(hù)端分用戶(hù)名、Client ID、密碼以及 salt(鹽)等信息。

2. 使用與 MySQL 認(rèn)證相同加鹽規(guī)則與哈希方法處理客戶(hù)端信息得到密文。

3. 將客戶(hù)端信息寫(xiě)入數(shù)據(jù)庫(kù)，客戶(hù)端的密碼應(yīng)當(dāng)為密文信息。