rocketmq之ACL权限配置

于 2025-07-23 11:22:54 发布
阅读量876 收藏 11
点赞数 13
CC 4.0 BY-SA版权
分类专栏: # RocketMQ 文章标签: rocketmq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010520146/article/details/149561495

一.权限控制特性介绍

权限控制(ACL)主要为RocketMQ提供Topic资源级别的用户访问控制。用户在使用RocketMQ权限控制时,可以在Client客户端通过 RPCHook注入AccessKey和SecretKey签名;同时,将对应的权限控制属性(包括Topic访问权限、IP白名单和AccessKey和SecretKey签名等)设置在distribution/conf/plain_acl.yml的配置文件中。Broker端对AccessKey所拥有的权限进行校验,校验不过,抛出异常; ACL客户端可以参考:org.apache.rocketmq.example.simple包下面的AclClient代码。

二. 权限控制的定义与属性值

2.1 权限定义

对RocketMQ的Topic资源访问权限控制定义主要如下表所示,分为以下四种

权限含义
DENY拒绝
ANYPUB 或者 SUB 权限
PUB发送权限
SUB订阅权限

2.2 权限定义的关键属性

字段取值含义
globalWhiteRemoteAddresses;192.168..*;192.168.0.1全局IP白名单
accessKey字符串Access Key
secretKey字符串Secret Key
whiteRemoteAddress;192.168..*;192.168.0.1用户IP白名单
admintrue;false是否管理员账户
defaultTopicPermDENY;PUB;SUB;PUBSUB
defaultGroupPermDENY;PUB;SUB;PUBSUB
topicPermstopic=权限各个Topic的权限
groupPermsgroup=权限各个ConsumerGroup的权限

具体可以参考distribution/conf/plain_acl.yml配置文件

三. 权限控制主要流程

ACL主要流程分为两部分,主要包括权限解析和权限校验。

3.1 权限解析

Broker端对客户端的RequestCommand请求进行解析,拿到需要鉴权的属性字段。 主要包括: (1)AccessKey:类似于用户名,代指用户主体,权限数据与之对应; (2)Signature:客户根据 SecretKey 签名得到的串,服务端再用SecretKey进行签名验证;

3.2 权限校验

Broker端对权限的校验逻辑主要分为以下几步: (1)检查是否命中全局 IP 白名单;如果是,则认为校验通过;否则走 2; (2)检查是否命中用户 IP 白名单;如果是,则认为校验通过;否则走 3; (3)校验签名,校验不通过,抛出异常;校验通过,则走 4; (4)对用户请求所需的权限 和 用户所拥有的权限进行校验;不通过,抛出异常; 用户所需权限的校验需要注意已下内容: (1)特殊的请求例如 UPDATE_AND_CREATE_TOPIC 等,只能由 admin 账户进行操作; (2)对于某个资源,如果有显性配置权限,则采用配置的权限;如果没有显性配置权限,则采用默认的权限;

四. 开启acl权限与配置

4.1 开启acl权限控制

在rocketmq broker目录下conf/broker.conf ,修改配置参数aclEnable=true

sh-4.2$ cat broker.conf 
 
# 开启长轮询(默认为 true)
longPollingEnable=true
# 设置长轮询最大等待时间(单位:毫秒,默认为 3000ms)
waitTimeMillsInLongPolling=5000

brokerClusterName = DefaultCluster
brokerName = broker-a
brokerId = 0
deleteWhen = 04
fileReservedTime = 48
brokerRole = ASYNC_MASTER
flushDiskType = ASYNC_FLUSH
brokerIP1 = 192.0.168.1
autoCreateTopicEnable = true
namesrvAddr = 192.0.168.1:9876
# 开启acl权限
aclEnable=true

4.2 conf/plain_acl.yml权限配置

rocketmq配置如下:

# rocketmq配置
rocketmq: 
  name-server: 192.0.168.1:9876
  topic: booking
  consumer:
    group: queue-consumer-group
    access-key: RocketMQ1
    secret-key: 12345678 
  producer:
    group: queue-producer-group
    send-message-timeout: 10000
    access-key: RocketMQ2
    secret-key: 123456789
conf/plain_acl.yml配置
[master@java3 conf]# cat plain_acl.yml
globalWhiteRemoteAddresses:
  - 192.0.168.2
  - 172.17.0.*

accounts:
- accessKey: RocketMQ1
  secretKey: 12345678
  whiteRemoteAddress:
  admin: false
  defaultTopicPerm: DENY
  defaultGroupPerm: DENY
  topicPerms:
  - booking=SUB
  groupPerms:
  - queue-consumer-group=SUB


- accessKey: RocketMQ2
  secretKey: 123456789
  whiteRemoteAddress:
  admin: false
  defaultTopicPerm: DENY
  defaultGroupPerm: DENY
  topicPerms:
  - booking=PUB
  groupPerms:
  - queue-producer-group=PUB
详解RocketMQ ACL机制的设计实现原理
林风自在
04-24 1162
配置使用、实现思路、匹配和校验、源码分析等角度出发,解读RocketMQ ACL机制的设计和实现原理,最后还给出了使用过程中的踩坑经验分享
扩展知识:RocketMQ 如何开启 ACL 验证
超超IT的博客
06-11 2006
RocketMQ4.4.0 版本开始支持 ACL 功能,ACL 验证的主要作用就是保证消息的安全性,实现权限控制功能,比如控制可以发送和订阅消息的群体,如某些主题只能被订阅,某些主题只有指定的IP,或者只有携带账号密码才可以订阅和发布等。对于第二个账户rocketmq2,由于设置了admin: true,所以它将拥有对所有资源和主题的访问权限,无论是否在topicPerms或groupPerms中明确指定了权限。同时,它的IP白名单被限制为192.168.1.*。
Rocket消息机制和ACL权限控制
最新发布
weixin_58611042的博客
06-06 692
由于RocketMQ与消费者端有失败重试机制,所以,只要消息成功发送到RocketMQ了,那么可以认为Branch2.1,Branch2.2,Branch2.3这⼏个分⽀步骤,是可以保证最终的数据⼀致性的。对于指定固定延迟级别的延迟消息,RocketMQ的实现⽅式是预设⼀个系统Topic,名字叫做SCHEDULE_TOPIC_XXXXX。通常来说,RocketMQ作为⼀个内部服务,是不需要进⾏权限控制的,但是,如果要通过RocketMQ进⾏跨部⻔甚⾄跨公司的合作,权限控制的重要性就显现出来了。
源码分析RocketMQ ACL实现机制
中间件兴趣圈
07-07 3524
有关RocketMQ ACL的使用请查看上一篇《RocketMQ ACL使用指南》,本文从源码的角度,分析一下RocketMQ ACL的实现原理。 备注:RocketMQ4.4.0时引入了ACL机制,本文代码基于RocketMQ4.5.0版本。 本节目录1、BrokerController#initialAcl2、PlainAccessValidator2.1 类图2.1.2 PlainAc...
RocketMQ4.9.2 ACL鉴权设计与RocketMQ-Console对接+JAVA使用ACL鉴权发送消息
weixin_44121378的博客
02-28 5829
RocketMQ ACL使用指南 一 、什么是ACLACL是access control list的简称,俗称访问控制列表 用户:用户是访问控制的基础要素,也不难理解,RocketMQ ACL 必然也会引入用户的概 念,即支持用户名、密码; 资源:需要保护的对象,在 RocketMQ 中,消息发送涉及的 Topic、消息消费涉及的 消费组,应该进行保护,故可以抽象成资源; 权限:针对资源,能进行的操作; 角色:RocketMQ 中,只定义两种是否是管理员 另外,RocketMQ ACL支持按照客户
RocketMQ ACL使用指南
热门推荐
中间件兴趣圈
06-30 2万+
详细介绍RocketMQ acl访问控制列表的流程图、plain_acl.yml文件各配置项的详细介绍、权限匹配验证流程与acl使用示例。
RocketMQTemplate 使用教程
小匠的Blog
03-12 1281
Bean@BeanRocketMQTemplate 提供了丰富的 API 和功能,能够满足大多数消息队列使用场景。通过本教程的学习,你应该能够掌握 RocketMQTemplate 的基本用法和高级特性,并能够在实际项目中灵活应用。在实际使用中,建议根据业务需求选择合适的消息发送方式和消费模式,并注意消息的可靠性、幂等性和性能优化。
rocketmq-console控制台已增加ACL鉴权和配置控制台登录验证
02-24
RocketMQ Console中引入ACL,意味着管理员可以更精细地控制用户对RocketMQ集群的操作权限。例如,可以设置某些用户只能查看特定主题,而不能创建或删除;或者限制某些用户只能发送消息,而不能消费。这样,通过...
RocketMQ集群ACL设置
shykevin的博客
08-18 617
一、概述 因安全需求,需要对RocketMQ添加ACL设置 注意:ACL功能需要高版本支持,低版本不行,本文使用的版本为4.9.4 关于搭建RocketMQ集群,请参考链接:https://www.cnblogs.com/xiao987334176/p/16771899.html 二、配置 修改配置文件broker-a/broker-a.conf,broker-b/broker-b.conf最后...
RocketMQ 4.9.4使用(三)开启ACL验证
q283614346的博客
08-26 3798
rocketMQ开启ACL验证
RockeMQ ACL权限控制
Break a Leg
08-11 477
查看官方文档。主要步骤有: plain_acl.yml 设置权限属性 broker.conf 设置 【aclEnable=true】 Client客户端通过 RPCHook注入AccessKey和SecretKey签名。 实操 下载【distribution/conf/plain_acl.yml配置文件】,根据文档描述到指定路径下下载plain_acl.yml文件。 文件路径: https://github.com/apache/rocketmq/tree/master/distribution/
RocketMQACL权限控制 & 源码文档解读 & 消息轨迹介绍
沮丧的南瓜
08-25 1650
一、ACL介绍 权限控制(ACL)主要为RocketMQ提供Topic资源级别的用户访问控制。 用户在使用RocketMQ权限控制时,可以在Client客户端通过 RPCHook注入AccessKey和SecretKey签名;同时,将对应的权限控制属性(包括Topic访问权限、IP白名单和AccessKey和SecretKey签名等)设置在$ROCKETMQ_HOME/conf/plain_acl.yml的配置文件中。 Broker端对AccessKey所拥有的权限进行校验,校验不过,抛出异常; ACL客户
RocketMq 安全配置
12-10 4689
RocketMq是一款开源高性能,轻量级,统一消息传递引擎。经受住亿万级高并发的检验。许多企业系统都在使用。在并发削峰,异步处理,应用解耦的等场景都有它的身影。网上文章大多数介绍RocketMq的设计原理,集群配置,项目集成等。安全方面相对比较少,有出现的安全资料,在实际使用上也难走通。企业级系统安全方面也挺重要的,花了些时间研究RocketMq安全方面的,也有点收获,写此文章做总结,让小伙伴少走弯路。相信有些企业系统使用RocketMq的时候,没出现安全问题不会去开启安全校验的。 RocketMq安全相
RocketMQRocketMQ ACL动手实践与踩坑记录
浩瀚宇宙的一粒尘埃
04-30 8264
介绍 什么是ACL RocketMQ4.4.0版本开始支持ACLACL是Access Control List的简称,俗称访问控制列表。访问控制,基本上会涉及到用户、资源、权限、角色等概念,那在RocketMQ中上述会对应哪些对象呢? 用户:用户是访问控制的基础要素,也不难理解,RocketMQ ACL必然也会引入用户的概念,即支持用户名、密码 资源:资源,需要保护的对象,在RocketMQ中,消息发送涉及的Topic、消息消费涉及的消费组,应该进行保护,故可以抽象成资源 权限:针对资源,能进行的操作
RocketMQ ACL鉴权设计与使用demo
游语
04-20 3222
摘要 rocketMq开启访问权限控制的目的是为了提高系统的安全性和保密性。要保证系统的安全性和保密性,那么就需要从身份认证和访问控制两个方向出发。身份认证是对系统的用户进行有效性、真实性验证;访问控制是在身份认证的基础上,根据不同用户的操作请求加以限制。身份认证关心的是“你是谁,你是否拥有你所声明的身份”这个问题;而访问控制则关心“你能做什么,不能做什么”的问题。rocketMq4.4.0版本时引入了ACL机制,用于访问权限控制。 RocketMQ ACL使用指南 一 什么是ACLACL是acces
RocketMQ 开启ACL使用指南
第一天
04-09 2198
https://blog.csdn.net/prestigeding/article/details/94317946
rocketMQ消费者权限配置
12-13
RocketMQ中,消费者权限配置是确保消息安全和系统稳定性的重要环节。通过合理的权限配置,可以控制哪些消费者可以访问特定的主题(Topic)以及执行哪些操作。以下是RocketMQ消费者权限配置的基本步骤: 1. **配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值