Mnesia 认证

Mnesia 认证使用 EMQ X 内置 Mnesia 数据库存储客户端 Client ID/Username 与密码,支持通过 HTTP API 管理认证数据。

Mnesia 认证不依赖外部数据源,使用上足够简单轻量。

插件:

  1. emqx_auth_mnesia

认证规则

Mnesia 认证默认基于 CONNECT 报文中的 Username 和密码进行认证, 可在 etc/plugins/emqx_auth_mnesia.conf 中更改为使用 CONNECT 报文的的 Client ID 与密码认证:

  1. ## Auth as username or auth as clientid.
  2. ##
  3. ## Value: username | clientid
  4. auth.mnesia.as = username

哈希方法

Mnesia 认证默认使用 sha256 进行密码哈希加密,可在 etc/plugins/emqx_auth_mnesia.conf 中更改:

  1. # etc/plugins/emqx_auth_mnesia.conf
  3. ## Value: plain | md5 | sha | sha256 
  4. auth.mnesia.password_hash = sha256

配置哈希方法后,新增的预设认证数据与通过 HTTP API 添加的认证数据将以哈希密文存储在 EMQ X 内置数据库中。

预设认证数据

可以通过配置文件预设认证数据,编辑配置文件:etc/plugins/emqx_auth_mnesia.conf

  1. # etc/plugins/emqx_auth_mnesia.conf
  3. ## 第一组认证数据
  4. auth.mnesia.1.login = admin
  5. auth.mnesia.1.password = public
  6. auth.mnesia.1.is_superuser = true
  8. ## 第二组认证数据
  9. auth.mnesia.2.login = client
  10. auth.mnesia.2.password = public
  11. auth.mnesia.2.is_superuser = false

认证数据中的 login 会根据 auth.mnesia.as 的值去读取客户端的 Username 或 Client ID.

插件启动时将读取预设认证数据并加载到 EMQ X 内置数据库中,节点上的认证数据会在此阶段同步至集群中。

预设认证数据在配置文件中使用了明文密码,出于安全性与可维护性考虑应当避免使用该功能。

预设认证数据无法通过 API 修改、删除,请慎用。

使用 HTTP API 管理认证数据

添加认证数据

API 定义:

  1. # Request
  2. POST api/v4/auth_user
  3. {
  4.     "login": "emqx_c",
  5.     "password": "emqx_p",
  6.     "is_superuser": false
  7. }
  9. # Response
  10. {
  11.     "data": {
  12.         "emqx_c": "ok"
  13.     },
  14.     "code": 0
  15. }

使用 POST 请求添加 login 为 emqx_c,password 为 emqx_p,非超级用户的认证信息,返回信息中 code = 0 即为成功。

批量添加认证数据

API 定义:

  1. # Request
  2. POST api/v4/auth_user
  3. [
  4.     {
  5.     "login": "emqx_c_1",
  6.     "password": "emqx_p",
  7.     "is_superuser": false
  8.     },
  9.     {
  10.         "login": "emqx_c_2",
  11.         "password": "emqx_p",
  12.         "is_superuser": false
  13.     }
  14. ]
  16. # Response
  17. {
  18.     "data": {
  19.         "emqx_c_2": "ok",
  20.         "emqx_c_1": "ok"
  21.     },
  22.     "code": 0
  23. }

查看已经添加的认证数据

API 定义:

  1. # Request
  2. GET api/v4/auth_user
  4. # Response
  5. {
  6.   "meta": {
  7.     "page": 1,
  8.     "limit": 10,
  9.     "count": 1
  10.   },
  11.   "data": [
  12.     {
  13.       "password": "ceb5e917f7930ae8f0dc3ceb496a428f7e644736eebca36a2b8f6bbac756171a",
  14.       "login": "emqx_c",
  15.       "is_superuser": false
  16.     }
  17.   ],
  18.   "code": 0
  19. }

更改已添加的认证数据

API 定义:

  1. # Request
  2. PUT api/v4/auth_user/${login}
  3. {
  4.     "password": "emqx_new_p",
  5.     "is_superuser": false
  6. }
  8. # Response
  9. {
  10.     "code": 0
  11. }

查看指定的认证数据

注意此处返回的密码是使用配置文件指定哈希方式加密后的密码:

API 定义:

  1. # Request
  2. GET api/v4/auth_user/${login}
  4. # Response
  5. {
  6.     "data": {
  7.         "password": "3b20ff0218af39d01252844ccaac8ce0160f969ad00c601e23f6e57cd26fad4e",
  8.         "login": "emqx_c",
  9.         "is_superuser": false
  10.     },
  11.     "code": 0
  12. }

删除认证数据

删除指定认证数据:

API 定义:

  1. # Request
  2. DELETE api/v4/auth_user/${login}
  4. # Response
  5. {
  6.     "code": 0
  7. }