acl库需要mysql吗_MySQL ACL

# MySQL ACL

MySQL ACL 使用外部 MySQL 数据库存储 ACL 规则，可以存储大量数据、动态管理 ACL，方便与外部设备管理系统集成

插件：

TIP

emqx_auth_mysql 插件同时包含认证功能，可通过注释禁用。

# MySQL 连接信息

MySQL 基础连接信息，需要保证集群内所有节点均能访问。

# 默认表结构

MySQL 认证插件默认配置下需要确保数据库中有以下两张数据表，用于存储认证规则信息：

# 认证/超级用户表

示例数据：

# ACL 规则表

规则表字段说明：allow：禁止(0)，允许(1)

ipaddr：设置 IP 地址

username：连接客户端的用户名，此处的值如果设置为 $all 表示该规则适用于所有的用户

clientid：连接客户端的 Client ID

access：允许的操作：订阅(1)，发布(2)，订阅发布都可以(3)

topic：控制的主题，可以使用通配符，并且可以在主题中加入占位符来匹配客户端信息，例如 t/%c 则在匹配时主题将会替换为当前客户端的 Client ID%u：用户名

%c：Client ID

默认配置下示例数据：

启用 MySQL ACL 后并以用户名 emqx 成功连接后，客户端应当数据具有相应的主题权限。

TIP

这是默认配置使用的表结构，熟悉该插件的使用后你可以使用任何满足条件的数据表进行 ACL 规则存储。

# 超级用户 SQL(super_query)

进行 ACL 鉴权时，EMQ X 将使用当前客户端信息填充并执行用户配置的超级用户 SQL，查询客户端是否为超级用户。客户端为超级用户时将跳过 ACL SQL。

你可以在 SQL 中使用以下占位符，执行时 EMQ X 将自动填充为客户端信息：%u：用户名

%c：Client ID

%C：TLS 证书公用名(证书的域名或子域名)，仅当 TLS 连接时有效

%d：TLS 证书 subject，仅当 TLS 连接时有效

你可以根据业务需要调整超级用户 SQL，如添加多个查询条件、使用数据库预处理函数，以实现更多业务相关的功能。但是任何情况下超级用户 SQL 需要满足以下条件：查询结果中必须包含 is_superuser 字段，is_superuser 应该显式的为 true

查询结果只能有一条，多条结果时只取第一条作为有效数据

TIP

如果不需要超级用户功能，注释并禁用该选项能有效提高效率

# ACL SQL(acl_query)

进行 ACL 鉴权时，EMQ X 将使用当前客户端信息填充并执行用户配置的超级用户 SQL，如果没有启用超级用户 SQL 或客户端不是超级用户，则使用 ACL SQL 查询出该客户端在数据库中的 ACL 规则。

你可以在 ACL SQL 中使用以下占位符，执行时 EMQ X 将自动填充为客户端信息：%u：用户名

%c：Client ID

%C：TLS 证书公用名(证书的域名或子域名)，仅当 TLS 连接时有效

%d：TLS 证书 subject，仅当 TLS 连接时有效

你可以根据业务需要调整 ACL SQL，如添加多个查询条件、使用数据库预处理函数，以实现更多业务相关的功能。但是任何情况下 ACL SQL 需要满足以下条件：查询结果中必须包含 allow、access、topic、clientid、username、ipaddr 字段，如果字段不想参与比对则使用 $all 字符串或者数据库 NULL 值

查询结果可以有多条，多条结果时按照从上到下的顺序进行匹配

TIP

可以在 SQL 中调整查询条件、指定排序方式实现更高效率的查询。

# 特殊说明

MySQL 8.0 及以后版本使用了 caching_sha2_password 作为默认身份验证插件，受限于客户端驱动你必须将其更改为 mysql_native_password 插件：