Mosquitto: API认证

如何使用外部API认证数千台设备

👋 欢迎来到 Stackhero 文档！

Stackhero 提供即用型 Mosquitto MQTT 云解决方案，具有众多优势，包括：

无限制的消息交换和传输。

通过外部 API 进行无限制的设备认证。

针对主题、用户和操作的高级 ACL。

使用 HTTPS 保护的可定制域名（例如，https://mqtt.your-company.com）。

只需点击即可轻松更新。

由专用私有 VM提供的最佳性能和强大安全性。

节省时间并简化您的生活：只需 5 分钟即可试用 Stackhero 的 Mosquitto MQTT 云托管解决方案！

在设备认证方面，您有两种主要方法。您可以使用简单的方法，或者将认证委托给外部API。

如果您有少于20台设备且不需要高级ACL控制，最简单的方法效果很好。在这种情况下，您可以在Stackhero仪表板的服务配置中为每个设备创建一个单独的登录名和密码。

或者，您可以将认证委托给外部API。这种方法提供动态凭证管理，并允许您实施强大的ACL。ACL（访问控制列表）允许您为每个用户定义发布或订阅特定主题的精确权限。

MQTT API认证如何工作

当您有超过20台物联网设备或需要详细的主题ACL管理时，使用外部API认证特别有用。

当设备连接到MQTT时，Mosquitto会向您的API发送一个HTTP POST请求。请求包含一个JSON负载，其中包括设备的用户名和密码。如果您的API返回HTTP状态码200，则设备被授权。任何不是200的状态码（如401）都会导致设备被拒绝访问。

在ACL验证期间，会传输四个参数：username、clientid、topic和acc。您的API应验证username是否被允许在topic上执行由acc定义的操作。acc参数定义如下：

读取访问 (1)
写入访问 (2)
读写访问 (3)
订阅访问 (4)

例如，如果用户userA尝试订阅主题sensors/temperatures，您的API将收到以下JSON：

{
  "username": "userA",
  "clientid": "userA",
  "topic": "sensors/temperatures",
  "acc": 4
}

当您通过API使用用户认证时，您仍然可以在Stackhero仪表板中手动定义用户。在这种情况下，手动定义的用户将被优先考虑。

Node.js中的MQTT API认证

为了演示外部API认证在实践中的工作方式，我们使用Node.js创建了一个示例API服务器。您可以在此处查看完整的存储库：https://github.com/stackhero-io/mosquittoGettingStarted。

使用Node-RED的MQTT API认证

Stackhero for Node-RED包含一个Mosquitto服务器。然而，对于高级使用，建议拥有一个独立的Mosquitto服务。此示例展示了如何使用独立的Mosquitto服务和Node-RED服务的API认证系统。如果您使用的是Node-RED中包含的Mosquitto服务，本指南不适用于您。

Stackhero for Node-RED在名为“MQTT authentication”的流中提供了一个MQTT API连接示例。此流也用于Stackhero for Node-RED中集成的Mosquitto服务器。

配置Mosquitto以使用Node-RED作为认证API

要使用Node-RED作为您的API认证端点，请按以下步骤更新您的Mosquitto配置：

启用API authentication选项。
将Host字段设置为您的Node-RED域。
选择HTTPS作为Protocol并输入443作为Port。
指定User route为/mqttAuthentication/userGet。
指定ACLs route为/mqttAuthentication/aclCheck。

为了调试，您可以将“Authentication cache time”设置为1秒。一旦您的设置运行顺利，推荐值为30秒。

Mosquitto配置示例

配置Node-RED作为MQTT认证API

更新Mosquitto配置后，启动Node-RED并打开MQTT authentication流。编辑Users节点以配置您的用户凭证。提供的示例包括多个用户名和密码组合。您可以根据需要添加任意数量的用户。

Node-RED MQTT认证流