阅读 121

物联网系列 - EMQ X 认证介绍

身份认证是大多数应用的重要组成部分,MQTT 协议支持用户名密码认证,启用身份认证能有效阻止非法客户 端的连接。

EMQ X 中的认证指的是当一个客户端连接到 EMQ X 的时候,通过服务器端的配置来控制客户端连接服务器的 权限。

EMQ X 的认证支持包括两个层面:

MQTT 协议本身在 CONNECT 报文中指定用户名和密码,EMQ X 以插件形式支持基于 Username、 ClientID、HTTP、JWT、LDAP 及各类数据库如 MongoDB、MySQL、PostgreSQL、Redis 等多种形式的认 证。

在传输层上,TLS 可以保证使用客户端证书的客户端到服务器的身份验证,并确保服务器向客户端验证服 务器证书。也支持基于 PSK 的 TLS/DTLS 认证。

1. 认证方式

EMQ X 支持使用内置数据源(文件、内置数据库)、JWT、外部主流数据库和自定义 HTTP API 作为身份认证 数据源。

连接数据源、进行认证逻辑通过插件实现的,每个插件对应一种认证方式,使用前需要启用相应的插件。 客户端连接时插件通过检查其 username/clientid 和 password 是否与指定数据源的信息一致来实现对客户端 的身份认证。

EMQ X 支持的认证方式:

内置数据源
- Username 认证
- Cliend ID 认证复制代码

使用配置文件与 EMQ X 内置数据库提供认证数据源,通过 HTTP API 进行管理,足够简单轻量。

外部数据库
- LDAP 认证
- MySQL 认证
- PostgreSQL 认证
- Redis 认证
- MongoDB 认证复制代码

外部数据库可以存储大量数据,同时方便与外部设备管理系统集成。

其他
- HTTP 认证
- JWT 认证复制代码

JWT 认证可以批量签发认证信息,HTTP 认证能够实现复杂的认证鉴权逻辑。

更改插件配置后需要重启插件才能生效,部分认证鉴权插件包含 ACL 功能

认证结果

任何一种认证方式最终都会返回一个结果:

- 认证成功:经过比对客户端认证成功
- 认证失败:经过比对客户端认证失败,数据源中密码与当前密码不一致
- 忽略认证(ignore):当前认证方式中未查找到认证数据,无法显式判断结果是成功还是失败,交由认证链下认证方式或匿名认证来判断复制代码
匿名认证

EMQ X 默认配置中启用了匿名认证,任何客户端都能接入 EMQ X。没有启用认证插件或认证插件没有显式允 许/拒绝(ignore)连接请求时,EMQ X 将根据匿名认证启用情况决定是否允许客户端连接。

配置匿名认证开关:

# etc/emqx.conf
## Value: true | false
allow_anonymous = true复制代码

生产环境中请禁用匿名认证。

注意:我们需要进入到容器内部修改该配置,然后重启EMQ X服务

密码加盐规则与哈希方法

EMQ X 多数认证插件中可以启用哈希方法,数据源中仅保存密码密文,保证数据安全。

启用哈希方法时,用户可以为每个客户端都指定一个 salt(盐)并配置加盐规则,数据库中存储的密码是按照 加盐规则与哈希方法处理后的密文。

以 MySQL 认证为例:

加盐规则与哈希方法配置:

# etc/plugins/emqx_auth_mysql.conf
## 不加盐,仅做哈希处理
auth.mysql.password_hash = sha256
## salt 前缀:使用 sha256 加密 salt + 密码 拼接的字符串
auth.mysql.password_hash = salt,sha256
## salt 后缀:使用 sha256 加密 密码 + salt 拼接的字符串
auth.mysql.password_hash = sha256,salt
## pbkdf2 with macfun iterations dklen
## macfun: md4, md5, ripemd160, sha, sha224, sha256, sha384, sha512
## auth.mysql.password_hash = pbkdf2,sha256,1000,20复制代码
如何生成认证信息

  • 为每个客户端分用户名、Client ID、密码以及 salt(盐)等信息

  • 使用与 MySQL 认证相同加盐规则与哈希方法处理客户端信息得到密文

  • 将客户端信息写入数据库,客户端的密码应当为密文信息

2. EMQ X 身份认证流程

  1. 根据配置的认证 SQL 结合客户端传入的信息,查询出密码(密文)和 salt(盐)等认证数据,没有查询结果时,认证将终止并返回 ignore 结果

  2. 根据配置的加盐规则与哈希方法计算得到密文,没有启用哈希方法则跳过此步

  3. 将数据库中存储的密文与当前客户端计算的到的密文进行比对,比对成功则认证通过,否则认证失败

PostgreSQL 认证功能逻辑图:

rz.jpg

写入数据的加盐规则、哈希方法与对应插件的配置一致时认证才能正常进行。更改哈希方法会造成现有认证数 据失效。

认证链

当同时启用多个认证方式时,EMQ X 将按照插件开启先后顺序进行链式认证:

  • 一旦认证成功,终止认证链并允许客户端接入

  • 一旦认证失败,终止认证链并禁止客户端接入

  • 直到最后一个认证方式仍未通过,根据

    • 匿名认证复制代码
    • 配置判定复制代码

  • 匿名认证开启时,允许客户端接入

  • 匿名认证关闭时,禁止客户端接入

rz.jpg

同时只启用一个认证插件可以提高客户端身份认证效率。

具体不同的认证方式我们下期再进行介绍!


作者:徐小白
链接:https://juejin.cn/post/7026890234331660319


文章分类
代码人生
文章标签
联网
emq
版权声明:本站是系统测试站点,无实际运营。本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 XXXXXXo@163.com 举报,一经查实,本站将立刻删除。
相关推荐