EMQX(七)—EMQX之订阅发布ACL机制

1.什么是订阅发布ACL

发布订阅ACL是指对发布(publish)/订阅(subscribe)操作的权限控制。例如拒绝用户 emq-demo 向 testTopic/a主题发布消息。 EMQ X 支持通过客户端发布订阅 ACL 进行客户端权限的管理。

2.ACL插件

EMQ X 支持使用配置文件、外部主流数据库和自定义 HTTP API 作为 ACL 数据源。
连接数据源、进行访问控制功能是通过插件实现的,使用前需要启用相应的插件。
客户端订阅主题、发布消息时插件通过检查目标主题(Topic)是否在指定数据源允许/禁止列表内来实现对客户端的发布、订阅权限管理。

配置文件
内置 ACL:使用配置文件提供认证数据源,适用于变动较小的 ACL 管理。

外部数据库
MySQL ACL
PostgreSQL ACL
Redis ACL
MongoDB ACL

外部数据库可以存储大量数据、动态管理 ACL,方便与外部设备管理系统集成。

HTTP ACL
HTTP ACL 能够实现复杂的 ACL 管理。

ACL 功能包含在认证鉴权插件中,更改插件配置后需要重启插件才能生效,

3.ACL规则

ACL 是允许与拒绝条件的集合,EMQ X 中使用以下元素描述 ACL 规则:

“允许(Allow) / 拒绝(Deny)” “谁(Who)” “订阅(Subscribe) / 发布(Publish)” “主题列表(Topics)”

同时具有多条 ACL 规则时,EMQ X 将按照规则排序进行合并,以 ACL 文件中的默认 ACL 为例,ACL 文件中配置了默认的 ACL 规则,规则从下至上加载:

  1. 第一条规则允许客户端发布订阅所有主题
  2. 第二条规则禁止全部客户端订阅 $SYS/# 与 # 主题
  3. 第三条规则允许 ip 地址为 127.0.0.1 的客户端发布/订阅 $SYS/# 与 # 主题,为第二条开了特例
  4. 第四条规则允许用户名为 dashboard 的客户端订阅 $SYS/# 主题,为第二条开了特例
{allow, {user, "dashboard"}, subscribe, ["$SYS/#"]}. 
{allow, {ipaddr, "127.0.0.1"}, pubsub, ["$SYS/#", "#"]}. 
{deny, all, subscribe, ["$SYS/#", {eq, "#"}]}. 
{allow, all}.

3.授权结果

任何一次 ACL 授权最终都会返回一个结果:
允许:经过检查允许客户端进行操作
禁止:经过检查禁止客户端操作
忽略(ignore):未查找到 ACL 权限信息(no match),无法显式判断结果是允许还是禁止,交由下一ACL 插件或默认 ACL 规则来判断

你可能感兴趣的:(MQ~EMQX,java)