Mosquitto: API 認證

如何使用外部 API 認證數以千計的設備

👋 歡迎來到 Stackhero 文件!

Stackhero 提供即用型 Mosquitto MQTT cloud 解決方案,帶來多項優勢,包括:

  • 無限的消息交換和傳輸。
  • 通過外部 API 進行 無限 的設備認證。
  • 在主題、用戶和操作上提供 高級 ACLs
  • 使用 HTTPS 保護的 可自訂域名(例如,https://mqtt.your-company.com)。
  • 只需點擊即可輕鬆 更新
  • 專用私有 VM 提供的最佳 性能 和強大 安全性

節省時間簡化您的生活:只需 5 分鐘 即可嘗試 Stackhero 的 Mosquitto MQTT cloud hosting 解決方案!

在設備認證方面,您有兩種主要方法。您可以使用簡單的方法或將認證委託給外部 API。

如果您有少於 20 個設備且不需要高級 ACL 控制,最簡單的方法效果很好。在這種情況下,您可以在 Stackhero 儀表板的服務配置中為每個設備創建單獨的登錄名和密碼。

或者,您可以將認證委託給外部 API。這種方法提供動態憑證管理,並允許您實施強大的 ACL。ACL(訪問控制列表)讓您可以為每個用戶定義精確的發佈或訂閱特定主題的權限。

MQTT API 認證如何運作

當您有超過 20 個 IoT 設備或需要詳細的主題 ACL 管理時,使用外部 API 認證特別有用。

當設備連接到 MQTT 時,Mosquitto 會向您的 API 發送 HTTP POST 請求。該請求包含設備的用戶名和密碼的 JSON 負載。如果您的 API 返回 HTTP 狀態碼 200,則設備被授權。任何不是 200 的狀態碼(如 401)都會導致設備被拒絕訪問。

在 ACL 驗證期間,會傳輸四個參數:usernameclientidtopicacc。您的 API 應該驗證 username 是否被允許在 topic 上執行 acc 定義的操作。acc 參數定義如下:

  1. 讀取權限 (1)
  2. 寫入權限 (2)
  3. 讀寫權限 (3)
  4. 訂閱權限 (4)

例如,如果用戶 userA 嘗試訂閱主題 sensors/temperatures,您的 API 將收到以下 JSON:

{
  "username": "userA",
  "clientid": "userA",
  "topic": "sensors/temperatures",
  "acc": 4
}

當您使用 API 進行用戶認證時,您仍然可以在 Stackhero 儀表板中手動定義用戶。 在這種情況下,手動定義的用戶將被優先考慮。

Node.js 中的 MQTT API 認證

為了展示外部 API 認證如何在實踐中運作,我們使用 Node.js 創建了一個示例 API 服務器。您可以在這裡查看完整的存儲庫:https://github.com/stackhero-io/mosquittoGettingStarted

使用 Node-RED 的 MQTT API 認證

Stackhero for Node-RED 包含一個 Mosquitto 服務器。然而,對於高級使用,建議擁有一個獨立的 Mosquitto 服務。 此示例展示如何使用獨立的 Mosquitto 服務和 Node-RED 服務的 API 認證系統。 如果您使用的是 Node-RED 附帶的 Mosquitto 服務,此指南不適用於您。

Stackhero for Node-RED 提供了一個名為 "MQTT authentication" 的流中的 MQTT API 連接示例。此流也用於 Stackhero for Node-RED 中的集成 Mosquitto 服務器。

配置 Mosquitto 以使用 Node-RED 作為認證 API

要使用 Node-RED 作為您的 API 認證端點,請按以下方式更新您的 Mosquitto 配置:

  1. 啟用 API authentication 選項。
  2. Host 欄位設置為您的 Node-RED 域名。
  3. 選擇 HTTPS 作為 Protocol 並輸入 443 作為 Port
  4. 指定 User route/mqttAuthentication/userGet
  5. 指定 ACLs route/mqttAuthentication/aclCheck

為了調試,您可以將 "Authentication cache time" 設置為 1 秒。一旦您的設置運行順利,建議的值是 30 秒。

Mosquitto 配置示例Mosquitto 配置示例

配置 Node-RED 作為 MQTT 認證 API

更新 Mosquitto 配置後,啟動 Node-RED 並打開 MQTT authentication 流。編輯 Users 節點以配置您的用戶憑證。提供的示例包括多個用戶名和密碼組合。您可以隨意添加所需的用戶。

Node-RED MQTT 認證流Node-RED MQTT 認證流

Mosquitto 的其他文章

  1. 入門指南
    如何開始使用 Mosquitto
  2. 橋接
    如何連接 Mosquitto 伺服器(橋接)
  3. WebSockets
    如何使用 WebSockets 連接到 MQTT
  4. CloudMQTT 停運替代方案
    探索 Stackhero 作為 CloudMQTT 的理想替代方案,提供無縫過渡的 Mosquitto 服務。