EMQ X：認證

簡介

身份認證是大多數應用的重要組成部分，MQTT 協議支持用戶名密碼認證，啟用身份認證能有效阻止非法客戶端的連接。

EMQ X 中的認證指的是當一個客戶端連接到 EMQ X 的時候，通過服務器端的配置來控制客戶端連接服務器的權限。

EMQ X 的認證支持包括兩個層面：

• MQTT 協議本身在 CONNECT 報文中指定用戶名和密碼，EMQ X 以插件形式支持基於 Username、ClientID、HTTP、JWT、LDAP 及各類數據庫如 MongoDB、MySQL、PostgreSQL、Redis 等多種形式的認證。
• 在傳輸層上，TLS 可以保證使用客戶端證書的客戶端到服務器的身份驗證，並確保服務器向客戶端驗證服 務器證書。也支持基於 PSK 的 TLS/DTLS 認證。

認證方式

EMQ X 支持的認證方式：

內置數據源：

• Username 認證
• Cliend ID 認證

外部數據庫：

• LDAP 認證
• MySQL 認證
• PostgreSQL 認證
• Redis 認證
• MongoDB 認證

其他：

• HTTP 認證
• JWT 認證

認證結果

任何一種認證方式最終都會返回一個結果：

• 認證成功：經過比對客戶端認證成功
• 認證失敗：經過比對客戶端認證失敗，數據源中密碼與當前密碼不一致
• 忽略認證（ignore）：當前認證方式中未查找到認證數據，無法顯式判斷結果是成功還是失敗，交由認證鏈下一認證方式或匿名認證來判斷

匿名認證

EMQ X 默認配置中啟用了匿名認證，任何客戶端都能接入 EMQ X。

沒有啟用認證插件或認證插件沒有顯式允 許/拒絕（ignore）連接請求時，EMQ X 將根據匿名認證啟用情況決定是否允許客戶端連接。

配置匿名認證開關：

#關閉匿名認證
vi /etc/emqx/emqx.conf

## Allow anonymous authentication by default if no auth plugins loaded.
## Notice: Disable the option in production deployment!
##
## Value: true | false
#改為false
allow_anonymous = false

#重啟emqx
emqx restart

加密加鹽及認證流程

加密加鹽

EMQ X 多數認證插件中可以啟用哈希方法，數據源中僅保存密碼密文，保證數據安全。

啟用哈希方法時，用戶可以為每個客戶端都指定一個 salt（鹽）並配置加鹽規則，數據庫中存儲的密碼是按照加鹽規則與哈希方法處理后的密文。

以 MySQL 認證為例，加鹽規則與哈希方法配置：

# etc/plugins/emqx_auth_mysql.conf
## 不加鹽，僅做哈希處理
auth.mysql.password_hash = sha256
## salt 前綴：使用 sha256 加密 salt + 密碼 拼接的字符串
auth.mysql.password_hash = salt,sha256
## salt 后綴：使用 sha256 加密 密碼 + salt 拼接的字符串
auth.mysql.password_hash = sha256,salt
## pbkdf2 with macfun iterations dklen
## macfun: md4, md5, ripemd160, sha, sha224, sha256, sha384, sha512
## auth.mysql.password_hash = pbkdf2,sha256,1000,20

如何生成認證信息:

1. 為每個客戶端分用戶名、Client ID、密碼以及 salt（鹽）等信息
2. 使用與 MySQL 認證相同加鹽規則與哈希方法處理客戶端信息得到密文
3. 將客戶端信息寫入數據庫，客戶端的密碼應當為密文信息

EMQ X 身份認證流程

• 根據配置的認證 SQL 結合客戶端傳入的信息，查詢出密碼（密文）和 salt（鹽）等認證數據，沒有查詢結果時，認證將終止並返回 ignore 結果
• 根據配置的加鹽規則與哈希方法計算得到密文，沒有啟用哈希方法則跳過此步
• 將數據庫中存儲的密文與當前客戶端計算的到的密文進行比對，比對成功則認證通過，否則認證失敗

PostgreSQL 認證功能邏輯圖：

認證鏈：

當同時啟用多個認證方式時，EMQ X 將按照插件開啟先后順序進行鏈式認證：

• 一旦認證成功，終止認證鏈並允許客戶端接入
• 一旦認證失敗，終止認證鏈並禁止客戶端接入
• 直到最后一個認證方式仍未通過，根據匿名認證配置判定
• • 匿名認證開啟時，允許客戶端接入
  • 匿名認證關閉時，禁止客戶端接入

Mnesia認證

Mnesia 認證使用 EMQ X 內置 Mnesia 數據庫存儲客戶端 Client ID/Username 與密碼，支持通過 HTTP API 管理認證數據。

Mnesia 認證不依賴外部數據源，使用上足夠簡單輕量。

點擊啟動，讓該插件運行

Mnesia 認證默認使用 sha256 進行密碼哈希加密，可在 etc/plugins/emqx_auth_mnesia.conf 中更改：

配置哈希方法后，新增的預設認證數據與通過 HTTP API 添加的認證數據將以哈希密文存儲在 EMQ X 內置數據庫中。

預設認證數據

可以通過配置文件預設認證數據，編輯配置文件：etc/plugins/emqx_auth_mnesia.conf

預設認證數據格式兼容 emqx_auth_clientid 與 emqx_auth_username 插件的配置格式

## Password hash.
##
## Value: plain | md5 | sha | sha256 | sha512
auth.mnesia.password_hash = sha256

##--------------------------------------------------------------------
## ClientId Authentication
##--------------------------------------------------------------------

## Examples
auth.client.1.clientid = id
auth.client.1.password = passwd
##auth.client.2.clientid = dev:devid
##auth.client.2.password = passwd2
##auth.client.3.clientid = app:appid
##auth.client.3.password = passwd3
##auth.client.4.clientid = client~!@#$%^&*()_+
##auth.client.4.password = passwd~!@#$%^&*()_+

##--------------------------------------------------------------------
## Username Authentication
##--------------------------------------------------------------------

## Examples:
auth.user.1.username = admin
auth.user.1.password = public
##auth.user.2.username = feng@emqtt.io
##auth.user.2.password = public
##auth.user.3.username = name~!@#$%^&*()_+
##auth.user.3.password = pwsswd~!@#$%^&*()_+

插件啟動時將讀取預設認證數據並加載到 EMQ X 內置數據庫中，節點上的認證數據會在此階段同步至集群中。

username測試

測試username，password：

賬號密碼為 admin/public

增加用戶

這里增刪改查都是完全遵守restful格式，后續不再演示

查看指定用戶user的信息：

websocket連接

mqttx客戶端工具驗證

下載地址：https://github.com/emqx/MQTTX/releases/download/v1.6.0/MQTTX.Setup.1.6.0.exe

連接成功：

添加一個訂閱者：

client_id認證

在前面，我添加了一個client_id信息，賬號id為id，密碼為passwd

使用mqttx來驗證client_id認證方式：

這里注意client_id和password填入自己配置的新，這里盡管username沒有，但是必須填入一個任意的值，為空則會連接失敗

http認證

HTTP 認證使用外部自建 HTTP 應用認證數據源，根據 HTTP API 返回的數據判定認證結果，能夠實現復雜的認證鑒權邏輯。

插件：

emqx_auth_http  

emqx_auth_http 插件同時包含 ACL 功能，可通過注釋禁用。

認證原理

EMQ X 在設備連接事件中使用當前客戶端相關信息作為參數，向用戶自定義的認證服務發起請求查詢權限，通過返回的 HTTP 響應狀態碼 (HTTP statusCode) 來處理認證請求。

• 認證失敗：API 返回 4xx 狀態碼
• 認證成功：API 返回 200 狀態碼
• 忽略認證：API 返回 200 狀態碼且消息體 ignore

加鹽規則與哈希方法

HTTP 在請求中傳遞明文密碼，加鹽規則與哈希方法取決於 HTTP 應用

基本使用

修改配置文件

開啟該插件：

編輯http認證配置文件

vi /etc/emqx/plugins/emqx_auth_http.conf

#其余配置尚未修改，這里就不展示了
auth.http.auth_req.url = http://192.168.40.128:8991/mqtt/auth
auth.http.auth_req.method = post
auth.http.auth_req.headers.content_type = application/x-www-form-urlencoded
auth.http.auth_req.params = clientid=%c,username=%u,password=%P

你可以在認證請求中使用以下占位符，請求時 EMQ X 將自動填充為客戶端信息：

• %u：用戶名
• %c：Client ID
• %a：客戶端 IP 地址
• %r：客戶端接入協議
• %P：明文密碼
• %p：客戶端端口
• %C：TLS 證書公用名（證書的域名或子域名），僅當 TLS 連接時有效
• %d：TLS 證書 subject，僅當 TLS 連接時有效

開發認證服務

這里基於springboot快速開發一套認證服務

application.yml

server:
  port: 8991
spring:
  application:
    name: emq-demo

AuthController.java

@RestController
@RequestMapping("/mqtt")
public class AuthController {

    Logger logger = LoggerFactory.getLogger(AuthController.class);

    Map<String, String> userMap = new HashMap<>();

    @PostConstruct
    public void init(){
        userMap.put("user1","user1");
        userMap.put("user2","user2");
    }


    @PostMapping("/auth")
    public ResponseEntity<HttpStatus> auth(String username, String clientid, String password){
        logger.info("開始進入auth方法");
        logger.info("username:{}; clientid:{}; password:{}", username, clientid, password);
        String passwd = userMap.get(username);
        if(!StringUtils.hasLength(passwd)){
            return new ResponseEntity<>(HttpStatus.UNAUTHORIZED);
        }
        return !password.equals(passwd) ? new ResponseEntity<>(HttpStatus.UNAUTHORIZED) : new ResponseEntity<>(HttpStatus.OK);
    }
}

打包后，傳到服務器並啟動

測試http認證

連接成功：

springboot認證服務日志：

emqx認證就介紹到這里，關於其他的認證方式可以參考官方文檔：https://docs.emqx.cn/broker/v4.3/advanced/auth.html#認證方式