# 使用 HTTP 服务进行密码认证 EMQX 支持通过外部 HTTP 服务进行密码认证。客户端连接时,EMQX 将使用客户端信息构造 HTTP 请求,并根据请求返回的内容判断认证结果,从而实现复杂的认证鉴权逻辑。 ::: tip 前置准备 熟悉 [EMQX 认证基本概念](../authn/authn.md) ::: ## 请求格式与返回结果 认证过程类似一个 HTTP API 调用,EMQX 作为请求客户端需要按照 "API" 要求的格式构造并向 HTTP 服务发起请求,而 HTTP 服务需要按照 "客户端" 的要求返回结果: - 响应编码格式 `content-type` 必须是 `application/json`。 - 认证结果通过 body 中的 `result` 标示,可选 `allow`、`deny`、`ignore`。 - 超级用户通过 body 中的 `is_superuser` 标示,可选 `true`、`false`。 - 从 EMQX v5.7.0 版本开始,您可以使用可选的 `client_attrs` 字段设置[客户端属性](../../client-attributes/client-attributes.md)。请注意,键和值都必须是字符串类型。 - 从 EMQX v5.8.0 版本开始,您可以在响应体中设置一个可选的 `acl` 字段,用于指定客户端的权限。有关更多信息,请参阅[权限列表(ACL)](./acl.md)。 - 从 EMQX v5.8.0 版本开始,您可以在响应体中设置一个可选的 `expire_at` 字段,用于指定客户端的认证到期时间,并强制客户端断开连接以便重新认证。该值为 Unix 时间戳(秒)。 - HTTP 响应状态码 `Status Code` 应当为 `200` 或 `204`,返回 `4xx/5xx` 状态码时将忽略 body 并判定结果为 `ignore`,继续执行认证链。 响应示例: ```js HTTP/1.1 200 OK Headers: Content-Type: application/json ... Body: { "result": "allow", // "allow" | "deny" | "ignore" "is_superuser": false, // true | false,该项为空时默认为 false "client_attrs": { // 可选 (自 v5.7.0 起) "role": "admin", "sn": "10c61f1a1f47" } "expire_at": 1654254601, // 可选 (自 v5.8.0 起) "acl": // 可选 (自 v5.8.0 起) [ { "permission": "allow", "action": "subscribe", "topic": "eq t/1/#", "qos": [1] }, { "permission": "deny", "action": "all", "topic": "t/3" } ] } ``` ::: tip EMQX 4.x 兼容性说明 在 4.x 中,EMQX 仅用到了 HTTP API 返回的状态码,而内容则被丢弃。例如 `200` 表示 `allow`,`403` 表示 `deny`。因为缺乏丰富的表达能力,在 5.0 中对这一机制进行了不兼容的调整。 ::: ## 通过 Dashboard 配置 1. 在 [EMQX Dashboard](http://127.0.0.1:18083/#/authentication) 页面,点击左侧导航栏的**访问控制** -> **认证**。 2. 在**认证**页面,点击**创建**。 3. 依次选择**认证方式**为 `Password-Based`,**数据源**为 `HTTP Server`,进入**配置参数**页签: ![authn-http](./assets/authn-http.png) 4. 您可根据如下说明完成相关配置: - **请求方式**:选择 HTTP 请求方式,可选值: `get`、`post`。 :::tip 推荐使用 `POST` 方法。 使用 `GET` 方法时,一些敏感信息(如纯文本密码)可能通过 HTTP 服务器日志记录暴露。此外,对于不受信任的环境,请使用 HTTPS。 ::: - **URL**:输入 HTTP 服务的 URL 地址。 - **调用条件**:一个 Variform 表达式,用于控制是否将此 HTTP 服务认证证器应用于客户端连接。该表达式会根据客户端的属性(例如 `username`、`clientid`、`listener` 等)进行评估。如果表达式的结果为字符串 `"true"`,则会触发认证器。否则,认证器将被跳过。有关调用条件的更多信息,请参见[认证器调用条件](./authn.md#认证器调用条件)。 - **请求头**(可选):HTTP 请求头配置。可以添加多个请求头。键和值可以使用[占位符](./authn.md#认证占位符)。 - **启用 TLS**:配置是否启用 TLS。 - **请求体**:请求模板,对于 `POST` 请求,它以 JSON 形式在请求体中发送。对于 `GET` 请求,它被编码为 URL 中的查询参数(Query String)。映射键和值可以使用[占位符](./authn.md#认证占位符)。 - **高级设置**:在此部分进行并发连接、连接超时等待时间、最大 HTTP 请求数以及请求超时时间。 - **连接池大小**(可选):整数,指定从 EMQX 节点到外部 HTTP Server 的并发连接数。默认值:`8`。 - **连接超时**(可选):填入连接超时等待时长。默认值:`15` 秒。 - **最大空闲时间**:HTTP 驱动在无任何活动时,尝试重连前的最大等待时间。默认值:`10` 秒。 - **HTTP 管道**(可选):正整数,指定无需等待响应可发出的最大 HTTP 请求数。默认值:`100`。 - **请求超时**(可选):填入连接超时等待时长。默认值:`5` 秒。 5. 最后点击**创建**完成相关配置。 ## 通过配置文件设置 此外,您可以通过配置项完成相关配置。 以下为使用 `POST` 和 `GET` 请求配置的 HTTP 请求示例: :::: tabs type:card ::: tab POST 请求示例 ```hcl { mechanism = password_based backend = http method = post url = "http://127.0.0.1:8080/auth?clientid=${clientid}" body { username = "${username}" password = "${password}" } headers { "Content-Type" = "application/json" "X-Request-Source" = "EMQX" } } ``` ::: ::: tab GET 请求示例 注意: body 将被转换为查询字符串。 ```hcl { mechanism = password_based backend = http method = get url = "http://127.0.0.1:32333/auth" body { username = "${username}" password = "${password}" } headers { "X-Request-Source" = "EMQX" } } ``` ::: ::::