登录
首页 >  数据库 >  MySQL

EMQ X 认证鉴权(一)——基于 MySQL 的 MQTT 连接认证

来源:SegmentFault

时间:2023-01-11 13:46:28 391浏览 收藏

对于一个数据库开发者来说,牢固扎实的基础是十分重要的,golang学习网就来带大家一点点的掌握基础知识点。今天本篇文章带大家了解《EMQ X 认证鉴权(一)——基于 MySQL 的 MQTT 连接认证》,主要介绍了MySQL、emqtt、iot,希望对大家的知识积累有所帮助,快点收藏起来吧,否则需要时就找不到了!

作为物联网通信协议事实标准,MQTT 保持着较高的安全性,提供了多层次的安全设计:

  • 传输层:MQTT 基于 TCP/IP 协议,可以在传输层上使用 SSL/TLS 进行加密传输:

    • 使用 SSL/TLS 加密通信数据,防止中间人攻击;
    • 使用客户端证书作为设备身份凭证,验证设备合法性。

  • 应用层:使用 MQTT 自身的安全特性进行防护:

    • MQTT 协议支持用户名和密码实现客户端的身份校验;
    • MQTT Broker 实现了 Topic 的读写权限控制(Topic ACL)。

EMQ X 完整支持 MQTT 各项安全规范,内置的安全功能无需编程开箱即用,可以快速排除项目中的安全隐患。本系列将围绕各个层次的安全规范,介绍如何通过配置 EMQ X 启用相关功能最终实现相应的安全防护。

emqx-auth-mysql 简介

emqx_auth_mysql 是基于 MySQL 数据库的 MQTT 认证/访问控制插件,通过检查每个终端接入的 

mysql> create database emqx;
Query OK, 1 row affected (0.00 sec)

mysql> use emqx;
Database changed

创建表

建议的表结构如下,其中,

  • username 为客户端连接的时候指定的用户名
  • password_hash 为使用 salt 加密后的密文
  • salt 为加密串
  • is_superuser 是否为超级用户,用于控制 ACL,缺省为0;设置成 1 的时候为超级用户,可以跳过 ACL 检查
数据表字段可以不用完全跟下面的一致,可以根据业务需要设置,通过 
CREATE TABLE `mqtt_user` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(100) DEFAULT NULL,
  `password_hash` varchar(255) DEFAULT NULL,
  `salt` varchar(40) DEFAULT NULL,
  `is_superuser` tinyint(1) DEFAULT 0,
  `created` datetime DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `mqtt_username` (`username`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;

创建成功后,查看一下表结构如下,

mysql> desc mqtt_user;
+---------------+------------------+------+-----+---------+----------------+
| Field         | Type             | Null | Key | Default | Extra          |
+---------------+------------------+------+-----+---------+----------------+
| id            | int(11) unsigned | NO   | PRI | NULL    | auto_increment |
| username      | varchar(100)     | YES  | UNI | NULL    |                |
| password_hash | varchar(255)     | YES  |     | NULL    |                |
| salt          | varchar(40)      | YES  |     | NULL    |                |
| is_superuser  | tinyint(1)       | YES  |     | 0       |                |
| created       | datetime         | YES  |     | NULL    |                |
+---------------+------------------+------+-----+---------+----------------+
6 rows in set (0.01 sec)

准备认证数据

本文提供示例数据中密码为 

MD5("test_passwordsecret") -> a904b2d1d2b2f73de384955022964595

mysql> INSERT INTO mqtt_user(username,password_hash,salt) VALUES('test_username', 'a904b2d1d2b2f73de384955022964595', 'secret');

Query OK, 1 row affected (0.00 sec)

mysql> select * from mqtt_user;
+----+----------------+----------------------------------+--------+--------------+---------+
| id | username       | password_hash                    | salt   | is_superuser | created |
+----+----------------+----------------------------------+--------+--------------+---------+
|  3 | test_username1 | a904b2d1d2b2f73de384955022964595 | secret |            0 | NULL    |
+----+----------------+----------------------------------+--------+--------------+---------+
1 row in set (0.00 sec)

启用认证功能

修改插件配置并启用插件

修改 

## 修改为实际 mysql 所在的服务器地址
auth.mysql.server = localhost:3306

## 修改为上面创建成功的 emqx 数据库
auth.mysql.database = emqx

## 连接认证查询语句
auth.mysql.auth_query = SELECT password_hash AS password, salt FROM mqtt_user WHERE username = '%u'

## 加密算法 plain | md5 | sha | sha256 | bcrypt
## 加盐加密算法
auth.mysql.password_hash = md5,salt

## 不加盐加密算法,直接写算法名称即可
# auth.mysql.password_hash = md5

修改完毕后使用 Dashboard 或命令行重启插件以应用配置,命令行重启示例如下:

emqx_ctl plugins reload emqx_auth_mysql
关闭匿名认证

EMQ X 默认开启了匿名认证,即便启用了认证功能,数据库没有查询到数据时设备也能正常连接,只有当查询到数据且密码错误时才会拒绝连接。

打开 

## Value: true | false
allow_anonymous = false

重启 emqx 完成配置应用。

测试

准备就绪后,仅通过认证校验之后的设备才能成功连接到 EMQ X:

  1. 使用正确的用户名和密码进行连接,并订阅 "topic" 主题,可以连接成功:

$ mosquitto_sub -p 1883 -u test_username -P test_password -t 'topic' -d
Client mosqsub|5228-wivwiv-mac sending CONNECT
Client mosqsub|5228-wivwiv-mac received CONNACK
Client mosqsub|5228-wivwiv-mac sending SUBSCRIBE (Mid: 1, Topic: topic, QoS: 0)
Client mosqsub|4119-zh
ouzibode received SUBACK
Subscribed (mid: 1): 0
  1. 使用错误的用户名或密码进行连接,并订阅 "topic" 主题,连接失败:

$ mosquitto_sub -p 1883 -u test_username -P test_password -t 'topic' -d
Client mosqsub/61879-wivwiv-ma sending CONNECT
Client mosqsub/61879-wivwiv-ma received CONNACK
Connection Refused: not authorised.

总 结

读者在理解了 EMQ X MySQL 认证原理之后,可以结合 MySQL 拓展相关应用。欢迎关注 EMQ X 安全系列文章,后续本系列将依次讲解 EMQ X 与物联网安全相关问题,助您构建高安全物联网项目。

版权声明: 本文为 EMQ 原创,转载请注明出处。

原文链接:https://www.emqx.io/cn/blog/emqx-authentication-1-mqtt-connection-authentication-based-on-mysql

今天关于《EMQ X 认证鉴权(一)——基于 MySQL 的 MQTT 连接认证》的内容就介绍到这里了,是不是学起来一目了然!想要了解更多关于mysql的内容请关注golang学习网公众号!

mysql MySQL emqtt iot
声明:本文转载于:SegmentFault 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>
评论列表