## 引言：靈活認證/授權機制帶來高效安全保障

EMQX 始終十分關注安全性，透過大量開箱即用的安全功能為廣大物聯網使用者提供持續增強的安全保障，包括 MQTT over TLS/SSL、基於國密演算法的傳輸加密認證整合方案，以及使用者名稱/密碼、LDAP、JWT、PSK 和 X.509 證書等多種身份認證功能。

其中，客戶端認證與授權是安全保障的核心之一。最新發布的 [EMQX 5.0](https://www.emqx.com/zh/blog/emqx-v-5-0-released) 對配置方式和使用流程進行了最佳化，內建實現了客戶端認證授權功能：使用者透過簡單配置，無需編寫程式碼即可對接各類資料來源與認證服務，實現各個級別與各類場景下的安全配置，以更高的開發效率獲得更安全的保障。

本文將透過對 EMQX 客戶端認證與授權機制以及 5.0 版本中相關最佳化的詳細解析，為讀者展示 EMQX 進行物聯網安全保障的原理機制，幫助大家更好地使用這一功能構建更加安全可靠的物聯網平臺與應用。

## EMQX 客戶端認證機制

身份認證是大多數應用程式的重要組成部分，在物聯網應用中也一樣。

[MQTT 協議](https://www.emqx.com/zh/mqtt)允許客戶端攜帶使用者名稱/密碼用於身份認證，在此基礎上 EMQX 擴充套件允許客戶端在密碼中攜帶 Token 實現 JWT 認證。同時，EMQX 完整支援 [MQTT 5.0 增強認證](https://www.emqx.com/zh/blog/mqtt5-enhanced-authentication)功能，能夠透過質詢/響應風格方式實現對客戶端和伺服器的雙向認證，實現更強的安全性保障。

### 三種認證方式

#### 密碼認證

EMQX 支援最簡單也是使用最多的認證方式，密碼認證要求客戶端提供能夠表明身份的憑據，例如使用者名稱、客戶端 ID 以及對應的密碼。在某些場景下，使用者可能會選擇將 TLS 證書中的一些欄位（例如證書公用名稱）作為客戶端的身份憑據使用。

但不論使用何種身份憑據進行認證，這些身份憑據都會提前儲存到特定資料來源（資料庫）中，其中密碼通常都會以加鹽後雜湊的形式儲存，這也是我們強烈建議的方式。

密碼認證在 EMQX 中的基本運作原理為：在客戶端連線時，EMQX 將使用使用者指定的查詢語句在資料庫中查詢與該客戶端提供的身份憑據對應的密碼雜湊值，然後與客戶端當前連線密碼的雜湊值進行匹配，一旦匹配成功，EMQX 將允許該客戶端登入。

[![密碼認證流程](http://img.blog.itpub.net/blog/2022/08/18/ddc878432c628f8d.png?x-oss-process=style/bb "密碼認證流程")](https://www.emqx.com/zh/blog/securing-the-iot "密碼認證流程")

#### JWT 認證

[JWT](https://jwt.io/) 是一種基於 Token 的認證機制，它不需要伺服器來保留客戶端的認證資訊或會話資訊。客戶端可以在密碼或使用者名稱中攜帶 Token，EMQX 則使用預先配置的金鑰或公鑰對 JWT 簽名進行驗證。

如果使用者配置了 JWKs 伺服器，則 JWT 認證器將使用從 JWKs 伺服器查詢到的公鑰列表對 JWT 簽名進行驗證。在持有金鑰的情況下使用者可以為客戶端批次簽發認證資訊，是最簡便的認證方式。

#### MQTT 5.0 增強認證

[MQTT 5.0 增強認證](https://www.emqx.com/zh/blog/mqtt5-enhanced-authentication)是對密碼認證的擴充套件，它更像是一種認證框架，允許使用各種更安全的認證機制，例如 SCRAM 認證、Kerberos 認證等。目前 EMQX 已支援 SCRAM 認證，並且透過內建資料庫提供了對 SCRAM 使用者管理的支援。

在傳輸層方面，EMQX 支援 TLS 的雙向認證，這在某種程度上能滿足客戶端和服務端之間的身份驗證要求，EMQX 也支援基於 PSK 的 TLS/DTLS 認證，本文不再贅述此部分內容。

### 認證鏈、超級使用者與許可權

EMQX 允許建立多個認證器構成一條認證鏈，認證器將按照在鏈中的位置順序執行，如果在當前認證器中未檢索到身份憑證，將會切換至鏈上的下一個認證器繼續認證，所有認證器都沒有查詢到資料則客戶端認證失敗。

EMQX 允許在認證階段為客戶端設定超級使用者角色以及預設許可權列表，用於後續的釋出訂閱許可權檢查。

## EMQX 授權機制

EMQX 授權是指對客戶端的釋出和訂閱操作進行許可權控制。與客戶端認證一樣，客戶端許可權列表同樣需要提前儲存到特定資料來源（資料庫、檔案）中，更新對應的資料即可實現許可權的執行時動態更新。

授權機制在 EMQX 中的基本運作原理為：在客戶端釋出或訂閱時，EMQX 將使用特定的流程或使用者指定的查詢語句從資料來源中查詢該客戶端相關的訪問控制列表（ACL），與當前操作進行匹配並根據匹配結果允許或拒絕當前操作。

### 快取、授權鏈與許可權優先順序

大量的客戶端訂閱和釋出將會對授權資料後端產生訪問壓力， 因此 EMQX 引入了快取機制。

EMQX 允許建立多個授權檢查器構成一條授權鏈，授權檢查將按照在鏈中的位置順序執行，如果在當前授權檢查器中未檢索到許可權資料，將會切換至鏈上的下一個檢查器繼續檢查，所有檢查器都沒有查詢到資料則客戶端根據 [no_match 配置](https://www.emqx.io/docs/zh/v5.0/security/authz/authz.html#no-match)預設允許或拒接操作。

如果客戶端在認證階段設定了超級使用者角色，則後續的釋出訂閱操作不會再觸發授權檢查；如果設定了許可權列表，則優先匹配客戶端許可權資料。三者匹配關係如下：

```undefined
超級使用者 > 許可權資料 > 授權檢查
```

## 認證與授權資料來源

EMQX 為密碼認證、授權提供了與多種後端資料庫的整合支援，包括 MySQL、PostgreSQL、MongoDB 和 Redis。

同時 EMQX 也支援使用者將身份憑證和許可權列表儲存到內建資料庫（基於 Mnesia）中，這種方式提供了非常簡單的配置流程和使用者管理介面。使用者可以透過 REST API 或 Dashboard 管理認證資料，或從 CSV 或 JSON 檔案批次匯入使用者。

除此之外，EMQX 還可以透過 HTTP 方式對接使用者自己開發的服務，藉此實現更復雜的認證與授權邏輯。

[![EMQX 認證](http://img.blog.itpub.net/blog/2022/08/18/34e81261b13e1ea2.png?x-oss-process=style/bb "EMQX 認證")](https://www.emqx.com/zh/blog/securing-the-iot "EMQX 認證")

[![EMQX 授權](http://img.blog.itpub.net/blog/2022/08/18/69025289d288d844.png?x-oss-process=style/bb "EMQX 授權")](https://www.emqx.com/zh/blog/securing-the-iot "EMQX 授權")

## 移除認證授權外掛

EMQX 5.0 中我們將認證授權功能從外掛遷移至內建功能，原認證授權外掛不再內建。

除了配置檔案的方式外，EMQX 允許透過 Dashboard 與 REST API 配置認證授權功能，選擇需要的認證方式，選擇擅長的資料來源，填入引數即可啟用連線認證和授權檢查功能，為客戶端提供最重要的安全防護。REST API 的配置方式能夠在實現將配置一次性分發並生效至叢集所有節點中，這種熱配置的方式大大提升了易用性，能夠更快的上手使用。

相比於 4.x 版本，使用內建資料時 EMQX 5.0 還在 Dashboard 提供了資料管理頁面，使用者在瀏覽器上即可完成資料的匯入/新增與管理，真正實現開箱即用零開發能力。

[![EMQX 認證1](http://img.blog.itpub.net/blog/2022/08/18/33ed9e72c788cd9b.png?x-oss-process=style/bb "EMQX 認證1")](https://www.emqx.com/zh/blog/securing-the-iot "EMQX 認證1")

### 保留外掛使用方式

內建的認證授權本身也是透過掛載鉤子的形式實現控制的，使用者仍然可以使用 EMQX 4.x 中開發的認證授權外掛，或基於 EMQX 5.0 開發新的外掛，此時外掛與內建功能將以鉤子掛載順序確定執行優先順序。

以下是認證與授權功能掛載的鉤子資訊，更多資訊請參考[外掛與擴充套件 - 鉤子](https://www.emqx.io/docs/zh/v5.0/advanced/hooks.html)：

[![表格](http://img.blog.itpub.net/blog/2022/08/18/456af3ea5554fb33.jpeg?x-oss-process=style/bb "表格")](https://www.emqx.com/zh/blog/securing-the-iot "表格")

## 多語言擴充套件開發認證授權功能

除了原生外掛開發外，EMQX 還支援透過[多語言鉤子擴充套件](https://www.emqx.io/docs/zh/v5.0/advanced/lang-exhook.html)的形式實現認證授權功能。

## 移除匿名認證機制

EMQX 4.x 中提供了匿名認證配置 `allow_anonymous`，沒有啟用認證外掛或認證外掛中沒有查詢到當前客戶端的身份憑證時，EMQX 將根據匿名認證啟用情況決定是否允許客戶端連線*。

> 我們建議使用者務必在生產環境中禁用匿名認證以避免資料庫列表之外的客戶端連線至 EMQX。

為了進一步提升安全性，同時降低使用者使用的複雜度，我們在 EMQX 5.0 中移除了這一機制。目前是否啟用認證的邏輯如下：

- EMQX 沒有配置任何認證器時，此時允許所有客戶端連線
- EMQX 配置認證器後：
  - 所有認證器**禁用**：允許客戶端連線
  - 任意認證器啟用：查詢身份憑證進行認證，如果全部啟用的認證器中都沒有找到身份憑證，則禁止客戶端連線

[![EMQX 5.0 認證鏈示意圖](http://img.blog.itpub.net/blog/2022/08/18/4f09f28ebb59cc72.png?x-oss-process=style/bb "EMQX 5.0 認證鏈示意圖")](https://www.emqx.com/zh/blog/securing-the-iot "EMQX 5.0 認證鏈示意圖")

## **調整認證器與授權檢查器順序**

使用者可以建立多個認證器和授權檢查器組成鏈實現鏈式認證，**儘管我們不推薦這麼做，但某些場景下這是有益的**：比如客戶端數量多、釋出訂閱速率很高的極端場景下，使用者可能使用 Redis 作為鏈中的第一個授權檢查器，與 HTTP 授權檢查服務搭配使用，藉助 Redis 高效能、自帶 TTL 優勢提供快取層以實現更高效能的授權檢查能力。

此前鏈上檢查器執行的順序是透過對應外掛載入順序決定的，並沒有對應的配置介面，這會帶來幾個問題：

- EMQX 初次啟動時需要手動去每個節點執行外掛載入操作，確保外掛載入順序符合業務需求
- EMQX 重啟後會自動載入上次啟動時已載入的外掛，外掛載入順序會被打亂
- 後續的維護使用中無法感知鏈的順序

EMQX 5.0 針對以上問題進行了最佳化：按照配置順序從上到下依次載入並執行認證器與授權檢查器，使用者可以從配置層面實現順序的控制。

同時我們提供了 Dashboard 與 REST API，允許透過拖拽、上下移動的方式調整認證器和授權檢查器的順序，確保符合業務需求。

## 實現認證授權可觀測性

EMQX 5.0 提供了認證授權統計指標，可以分別統計叢集綜合以及單個節點上認證器和授權檢查器的執行情況，包括以下資料：

- 成功數：認證或授權檢查透過數
- 失敗數：認證或授權檢查失敗數
- 不匹配：沒有找到使用者憑證或許可權列表的次數
- 當前速度：當前執行速度

透過認證授權統計指標，使用者可以及時發現如大量的失敗認證/授權檢查，及時感知安全系統的異常情況。

[![EMQX 實現認證授權可觀測性](http://img.blog.itpub.net/blog/2022/08/18/4ad39f94ab537872.png?x-oss-process=style/bb "EMQX 實現認證授權可觀測性")](https://www.emqx.com/zh/blog/securing-the-iot "EMQX 實現認證授權可觀測性")

## 為監聽器配置另外一種認證方式

預設情況下 EMQX 所有監聽器接入的客戶端都使用同一種認證方式，從同一個認證資料來源中讀取資料。

但在同時接入多個服務的 EMQX 叢集中，使用者可能需要根據業務不同為每種接入方式配置不同的認證方式，比如：

- 透過 MQTT over WebSocket 接入的客戶端不會頒發永久的使用者名稱密碼憑證，而是使用具有時效性的 JWT 進行認證以確保業務安全；
- 透過 MQTT TCP 接入的硬體裝置會在初始化時燒錄使用者名稱密碼或客戶端證書，該認證憑證在整個生命週期中不會變化，可以使用密碼認證；
- 用於後端服務連線的監聽器不需要認證檢查，此監聽器通常監聽於內網地址有足夠的安全性。

EMQX 5.0 允許為指定監聽器設定另外一種認證方式，或者關閉某個監聽器的認證檢查，以便靈活的適應各類認證需求。

全域性共用一個認證方式能夠滿足絕大多數場景的客戶端認證需求，對於大多數使用者監聽級別的認證設定是無感的，有需要的使用者只需在監聽器中配置即可。

## 結語

物聯網安全是企業數字化業務創新的基石。EMQX 在提供高標準安全功能的同時，也在持續提升靈活度與易用性。EMQX 5.0 中靈活多樣認證與授權方式能夠適配更多開源和企業方案，為企業構建安全物聯網平臺提供了更多選擇。配合其他豐富的開箱即用的安全功能，零開發投入就能實現可靠的物聯網安全保障。

## 本系列中的其它文章

- [EMQX 5.0 產品解讀 01 | Mria + RLOG 新架構下的 EMQX 5.0 如何實現 1 億 MQTT 連線](https://www.emqx.com/zh/blog/how-emqx-5-0-achieves-100-million-mqtt-connections)
- [EMQX 5.0 產品解讀 02 | MQTT over QUIC：物聯網訊息傳輸還有更多可能](https://www.emqx.com/zh/blog/mqtt-over-quic)
- [EMQX 5.0 產品解讀 03 | 基於 RocksDB 實現高可靠、低時延的 MQTT 資料持久化](https://www.emqx.com/zh/blog/mqtt-persistence-based-on-rocksdb)
- [EMQX 5.0 產品解讀 04 | 全新物聯網資料整合 ：Flow 視覺化編排 & 雙向資料橋接](https://www.emqx.com/zh/blog/iot-data-integration)

>版權宣告： 本文為 EMQ 原創，轉載請註明出處。
>
>原文連結：[https://www.emqx.com/zh/blog/securing-the-iot](https://www.emqx.com/zh/blog/securing-the-iot)

靈活多樣認證授權，零開發投入保障 IoT 安全

相關文章