Mosquitto: API 认证

如何使用外部 API 认证数千台设备

👋 欢迎来到 Stackhero 文档!

Stackhero 提供现成的 Mosquitto MQTT 云 解决方案,具有众多优势,包括:

  • 无限消息交换和传输。
  • 通过外部 API 进行无限设备认证。
  • 针对主题、用户和操作的高级 ACLs
  • 使用 HTTPS 保护的可定制域名(例如,https://mqtt.your-company.com)。
  • 只需点击即可轻松更新
  • 专用私有 VM提供的最佳性能和强大安全性

节省时间简化生活:只需 5 分钟即可试用 Stackhero 的 Mosquitto MQTT 云托管 解决方案!

在设备认证方面,您有两种主要方法。您可以使用简单的方法,或者将认证委托给外部 API。

如果您有少于 20 台设备且不需要高级 ACL 控制,最简单的方法效果很好。在这种情况下,您可以在 Stackhero 仪表板的服务配置中为每个设备创建一个单独的登录名和密码。

或者,您可以将认证委托给外部 API。这种方法提供动态凭证管理,并允许您实施强大的 ACL。ACL(访问控制列表)允许您为每个用户定义发布或订阅特定主题的精确权限。

MQTT API 认证如何工作

当您有超过 20 台 IoT 设备或需要详细的主题 ACL 管理时,使用外部 API 认证特别有用。

当设备连接到 MQTT 时,Mosquitto 会向您的 API 发送一个 HTTP POST 请求。请求包含一个 JSON 负载,其中包含设备的用户名和密码。如果您的 API 返回 HTTP 状态码 200,则设备被授权。任何非 200 的状态码(如 401)都会导致设备被拒绝访问。

在 ACL 验证期间,会传输四个参数:usernameclientidtopicacc。您的 API 应验证 username 是否被允许在 topic 上执行 acc 定义的操作。acc 参数定义如下:

  1. 读取访问 (1)
  2. 写入访问 (2)
  3. 读写访问 (3)
  4. 订阅访问 (4)

例如,如果用户 userA 尝试订阅主题 sensors/temperatures,您的 API 将收到以下 JSON:

{
  "username": "userA",
  "clientid": "userA",
  "topic": "sensors/temperatures",
  "acc": 4
}

当您通过 API 使用用户认证时,您仍然可以在 Stackhero 仪表板中手动定义用户。 在这种情况下,手动定义的用户将被优先考虑。

Node.js 中的 MQTT API 认证

为了演示外部 API 认证在实践中如何工作,我们创建了一个使用 Node.js 的示例 API 服务器。您可以在此处查看完整的仓库:https://github.com/stackhero-io/mosquittoGettingStarted

使用 Node-RED 的 MQTT API 认证

Stackhero for Node-RED 包含一个 Mosquitto 服务器。然而,对于高级使用,建议拥有一个独立的 Mosquitto 服务。 此示例展示了如何使用独立的 Mosquitto 服务和 Node-RED 服务的 API 认证系统。 如果您使用的是 Node-RED 附带的 Mosquitto 服务,本指南不适用于您。

Stackhero for Node-RED 提供了一个名为 "MQTT authentication" 的流中的 MQTT API 连接示例。此流也用于 Stackhero for Node-RED 中的集成 Mosquitto 服务器。

配置 Mosquitto 使用 Node-RED 作为认证 API

要使用 Node-RED 作为您的 API 认证端点,请按以下步骤更新您的 Mosquitto 配置:

  1. 启用 API authentication 选项。
  2. Host 字段设置为您的 Node-RED 域。
  3. 选择 HTTPS 作为 Protocol 并输入 443 作为 Port
  4. 指定 User route/mqttAuthentication/userGet
  5. 指定 ACLs route/mqttAuthentication/aclCheck

为了调试,您可以将 "Authentication cache time" 设置为 1 秒。一旦您的设置运行顺利,推荐的值是 30 秒。

Mosquitto 配置示例Mosquitto 配置示例

配置 Node-RED 作为 MQTT 认证 API

更新 Mosquitto 配置后,启动 Node-RED 并打开 MQTT authentication 流。编辑 Users 节点以配置您的用户凭证。提供的示例包括多个用户名和密码组合。您可以根据需要添加任意数量的用户。

Node-RED MQTT 认证流Node-RED MQTT 认证流

Mosquitto 的其他文章

  1. 入门指南
    如何开始使用Mosquitto
  2. 桥接
    如何连接 Mosquitto 服务器(桥接)
  3. WebSockets
    如何使用 WebSockets 连接到 MQTT
  4. CloudMQTT 停运替代方案
    发现 Stackhero 作为 CloudMQTT 的理想替代方案,提供无缝过渡的 Mosquitto 服务。