PostgreSQL 认证/访问控制

打开PostgreSQL官网:, 选择自己需要的版本，这里我们选择PostgreSQL版本为macos-10.13

安装完毕以后启动PostgreSQL。

打开，点击左侧的 “模块” 选项卡，选择添加：

选择PostgreSQL 认证/权限控制模块

需要配置PostgreSQL的地址，用户名，密码（可选）等基本连接参数表

最后点击“添加”按钮，模块即可添加成功

字段说明:

username：连接客户端的用户名，此处的值如果设置为表示该规则适用于所有的用户
password：连接客户端的密码参数
salt：密码加盐字符串
is_superuser：是否是超级用户

进行身份认证时，EMQX 将使用当前客户端信息填充并执行用户配置的认证 SQL，查询出该客户端在数据库中的认证数据。

select password from mqtt_user where username = '%u' limit 1

字段说明

%u：用户名
%c：clientid
%P：明文密码
%C：TLS 证书公用名（证书的域名或子域名），仅当 TLS 连接时有效
%d：TLS 证书 subject，仅当 TLS 连接时有效

可以根据业务需要调整认证 SQL，如添加多个查询条件、使用数据库预处理函数，以实现更多业务相关的功能。但是任何情况下认证 SQL 需要满足以下条件：

查询结果中必须包含 password 字段，EMQX 使用该字段与客户端密码比对
如果启用了加盐配置，查询结果中必须包含 salt 字段，EMQX 使用该字段作为 salt（盐）值
查询结果只能有一条，多条结果时只取第一条作为有效数据

默认配置下示例数据如下：

启用 PostgreSQL认证后，你可以通过用户名： emqx，密码：public 连接。

提示

可以在 SQL 中使用 AS 语法为字段重命名指定 password，或者将 salt 值设为固定值。

进阶

默认表结构中，我们将 username 字段设为了唯一索引（UNIQUE），与默认的查询语句（select password from mqtt_user where username = '%u' limit 1）配合使用可以获得非常不错的查询性能。

如果默认查询条件不能满足您的需要，例如你需要根据 Client ID 查询相应的 Password Hash 和 Salt，请确保将 Client ID 设置为索引；又或者您想要对 Username、Client ID 或者其他更多字段进行多条件查询，建议设置正确的单索引或是联合索引。总之，设置正确的表结构和查询语句，尽可能不要让索引失效而影响查询性能。

访问控制表

CREATE TABLE mqtt_acl (
  id SERIAL PRIMARY KEY,
  allow INTEGER,
  ipaddr CHARACTER VARYING(60),
  clientid CHARACTER VARYING(100),
  access  INTEGER,
  topic CHARACTER VARYING(100)
);
CREATE INDEX ipaddr ON mqtt_acl (ipaddr);
CREATE INDEX username ON mqtt_acl (username);

allow：禁止（0），允许（1）
ipaddr：设置 IP 地址
username：连接客户端的用户名，此处的值如果设置为 $all 表示该规则适用于所有的用户
clientid：连接客户端的 clientid
access：允许的操作：订阅（1），发布（2），订阅发布都可以（3）
topic：控制的主题，可以使用通配符，并且可以在主题中加入占位符来匹配客户端信息，例如 t/%c在匹配时主题将会替换为当前客户端的 clientid

访问控制的原理是从PostgreSQL中查找跟客户端相关的条目，然后进行鉴权，默认的查询SQL如下：

可以在认证 SQL 中使用以下占位符，执行时 EMQX 将自动填充为客户端信息：

%u：用户名
%c：clientid
%a：客户端 IP 地址
%P：明文密码
%C：TLS 证书公用名（证书的域名或子域名），仅当 TLS 连接时有效
%d：TLS 证书 subject，仅当 TLS 连接时有效

默认配置下示例数据：

-- 所有用户不可以订阅系统主题
INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (0, NULL, '$all', NULL, 1, '$SYS/#');
-- 允许 10.59.1.100 上的客户端订阅系统主题
INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (1, '10.59.1.100', NULL, NULL, 1, '$SYS/#');
-- 禁止客户端订阅 /smarthome/+/temperature 主题
INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (0, NULL, '$all', NULL, 1, '/smarthome/+/temperature');
-- 允许客户端订阅包含自身 Client ID 的 /smarthome/${clientid}/temperature 主题
INSERT INTO mqtt_acl (allow, ipaddr, username, clientid, access, topic) VALUES (1, NULL, '$all', NULL, 1, '/smarthome/%c/temperature');

超级用户可以订阅和发布任何Topic，默认SQL如下:

你可以在 SQL 中使用以下占位符，执行时 EMQX 将自动填充为客户端信息：

%u：用户名
%c：clientid
%C：TLS 证书公用名（证书的域名或子域名），仅当 TLS 连接时有效
%d：TLS 证书 subject，仅当 TLS 连接时有效

你可以根据业务需要调整超级用户 SQL，如添加多个查询条件、使用数据库预处理函数，以实现更多业务相关的功能。但是任何情况下超级用户 SQL 需要满足以下条件：

查询结果中必须包含 is_superuser 字段，is_superuser 应该显式的为 true
查询结果只能有一条，多条结果时只取第一条作为有效数据

提示

如果不需要超级用户功能，注释并禁用该选项能有效提高效率


plain
## 不加盐，仅做哈希处理
sha256
## salt 前缀：使用 sha256 加密 salt + 密码 拼接的字符串
salt,sha256
## salt 后缀：使用 sha256 加密 密码 + salt 拼接的字符串
sha256,salt
## pbkdf2 with macfun iterations dklen

提示

可参考:。