MQTT 提供多种认证方式保证客户端和服务端的通信安全,用户名(username)和密码(password)是最基本的认证方式,本文该方式为例介绍快速配置认证和授权的操作步骤。
新建用户
1. 登录 TDMQ MQTT 版控制台。
2. 在左侧导航栏选择资源管理 > 集群管理,选择好地域后,单击创建好的集群的“ID”。
3. 在集群基本信息页面,选择认证管理,进入用户名和密码页签。当前以用户名和密码认证为例,更多的认证方式说明详见认证方式概述。
4. 单击新建用户,填写用户名和说明,设置密码。用户名(username)和密码(password)是 MQTT 提供的最基本的认证方式,后续使用客户端收发消息时需要填写。
用户名:设置用户名,需符合命名规则,最长为32个字符,支持数字、大小写字母和分隔符("_","-")。
设置密码:支持系统自动生成密码或者自定义设置密码。
说明(选填):不得超过128个字符。
5. 单击保存,完成用户创建,后续在权限管理列表中,可以通过以下任一种方式复制用户名和密码。
注意:
密码泄露很可能导致您的数据泄露,请妥善保管您的密码。
在用户名(Username)、密码(Password)列复制。
单击操作列的查看密码,在查看密码弹框中单击复制图标。
配置授权策略
TDMQ MQTT 版支持精细的授权策略,可根据用户名、客户端标识符(Client Identifier)、主题、客户端 IP 地址、动作(连接、发布、订阅)等进行授权。
在未开启授权策略时,数据面资源无权限限制,可以使用任意“用户名+密码”进行连接、生产和消费等操作。
在快速入门阶段,您可以选择不开启授权策略,跳过授权策略配置的步骤;生产环境建议根据最小权限原则进行精细的权限控制。
若您开启了授权策略管理,则需要为创建好的用户设置生产消息和消费消息的权限,详情见 数据面授权策略说明。
在快速开始阶段,我们可以简单写一条规则如下,表示允许所有的客户端进行访问:
{"effect": "allow","actions": ["connect","pub","sub"],"topics": ["*"],"condition": {"ip": "0.0.0.0/0","clientId": "","username": "","qos": [0,1,2],"retain": ["true","false"]}}
