配置文件的<plugin>元素来简化配置和自定义安全认证机制.ActiveMQ提供两种认证方式:
简单认证插件 -- 直接通过XML配置文件或者属性文件处理认证
JAAS认证插件 -- 实现了JAAS API,提供一种更强大的可自定义的认证解决方案
简单认证
<broker ...> <plugins> <simpleAuthenticationPlugin> <users> <authenticationUser username="admin" password="password" groups="admins,publishers,consumers"/> <authenticationUser username="publisher" password="password" groups="publishers,consumers"/> <authenticationUser username="consumer" password="password" groups="consumers"/> <authenticationUser username="guest" password="password" groups="guests"/> </users> </simpleAuthenticationPlugin> </plugins> </broker>
连接代码可能需要变成类似
private String username = "publisher"; private String password = "password"; public Publisher() throws JMSException { factory = new ActiveMQConnectionFactory(brokerURL); connection = factory.createConnection(username, password); connection.start(); session = connection.createSession(false, Session.AUTO_ACKNOWLEDGE); producer = session.createProducer(null); }
简单认证插件时,密码存储和传输时都是使用明文,这可能对代理的安全造成隐患.可以将简单认证插件和SSL传输连接器配合起来使用,这样至少可以避免在网络中发送明文形式的密码.
JAAS插件
需要login.config文件,也可以指定JVM的java.security.auth.login.config属性,来指定文件名,如
-D java.security.auth.login.config=src/main/resources/org/apache/activemq/book/ch6/login.config
基本内容可以是
activemq-domain
{
org.apache.activemq.jaas.PropertiesLoginModule required debug=true
org.apache.activemq.jaas.properties.user="users.properties"
org.apache.activemq.jaas.properties.group="groups.properties";
};
activemq-domain模块内容是主要属性。
第一 org.apache.activemq.jaas.PropertiesLoginModule required debug=true,指定了实现类是org.apache.activemq.jaas.PropertiesLoginModule,required表示验证需要加载该类后进行,否则无法进行,debug=true登陆模块开启调试日志配置
第二个和第三个表示用户和组分别读取文件。
users.properties中每一行定义一个用户,使用用户名=密码的格式,如下所示:
admin=password
publisher=password
consumer=password
guest=password
groups.properties中同样每一行定义一个群组.但是群组=后面是一组通过逗号分割的用户名,
表示这些用户属于该群组,如下所示:
admins=admin
publishers=admin,publisher
consumers=admin,publisher,consumer
guests=guest
activemq配置文件的插件部分修改为
<plugins>
<jaasAuthenticationPlugin configuration="activemq-domain" />
</plugins>
其他的实现可以再activemq中找到。
授权
有两种机制
操作级别授权和消息级别授权.这两者授权方式提供了
比简单认证方式更细致的访问控制
目的地级别的授权
针对JMS消息目的地一共有三种用户操作权限:
读 -- 具有从特定目的地接收消息的权限
写 -- 具有发送消息到特定目的地的权限
管理 -- 具有管理消息目的地的权限
示例
<plugins> <jaasAuthenticationPlugin configuration="activemq-domain" /> <authorizationPlugin> <map> <authorizationMap> <authorizationEntries> <authorizationEntry topic=">" read="admins" write="admins" admin="admins" /> <authorizationEntry topic="STOCKS.>" read="consumers" write="publishers" admin="publishers" /> <authorizationEntry topic="STOCKS.ORCL" read="guests" /> <authorizationEntry topic="ActiveMQ.Advisory.>" read="admins,publishers,consumers,guests" write="admins,publishers,consumers,guests" admin="admins,publishers,consumers,guests" /> </authorizationEntries> </authorizationMap> </map> </authorizationPlugin> </plugins>
消息级别的授权
消息级别的授权需要通过编码方式实现,实现MessageAuthorizationPolicy接口,
public class AuthorizationPolicy implements MessageAuthorizationPolicy { private static final Log LOG = LogFactory.getLog(AuthorizationPolicy.class); public boolean isAllowedToConsume(ConnectionContext context,Message message) { LOG.info(context.getConnection().getRemoteAddress()); String remoteAddress = context.getConnection().getRemoteAddress(); if (remoteAddress.startsWith("/127.0.0.1")) { LOG.info("Permission to consume granted"); return true; } else { LOG.info("Permission to consume denied"); return false; } } }
如上,只有本机的消息允许被发送和访问。
另外还需要把该实现类通过配置文件配置进activemq的配置文件。
<broker> .. <messageAuthorizationPolicy> <bean class="org.apache.activemq.book.ch6.AuthorizationPolicy" xmlns="http://www.springframework.org/schema/beans" /> </messageAuthorizationPolicy> .. </broker>
插件
两种方式,
1.JAAS安全插件,如上JAAS。
2.自定义插件
先实现过滤器
BrokerFilter
public class IPAuthenticationBroker extends BrokerFilter { List<String> allowedIPAddresses; Pattern pattern = Pattern.compile("^/([0-9\\.]*):(.*)"); public IPAuthenticationBroker(Broker next, List<String> allowedIPAddresses) { super(next); this.allowedIPAddresses = allowedIPAddresses; } public void addConnection(ConnectionContext context, ConnectionInfo info) throws Exception { String remoteAddress = context.getConnection().getRemoteAddress(); Matcher matcher = pattern.matcher(remoteAddress); if (matcher.matches()) { String ip = matcher.group(1); if (!allowedIPAddresses.contains(ip)) { throw new SecurityException("Connecting from IP address " + ip + " is not allowed" ); } } else { throw new SecurityException("Invalid remote address " + remoteAddress); } super.addConnection(context, info); } }
由于拦截其是链结构的,public IPAuthenticationBroker(Broker next, List<String> allowedIPAddresses)
{
super(next);
this.allowedIPAddresses = allowedIPAddresses;
}
如上构造函数是为了保证自己的拦截器不会破坏原本的链。
接着是实现一个插件,该插件的作用是向Activemq注册过滤器,
public class IPAuthenticationPlugin implements BrokerPlugin { List<String> allowedIPAddresses; public Broker installPlugin(Broker broker) throws Exception { //返回一个过滤器实例 return new IPAuthenticationBroker(broker, allowedIPAddresses); } public List<String> getAllowedIPAddresses() { return allowedIPAddresses; } public void setAllowedIPAddresses(List<String> allowedIPAddresses) { this.allowedIPAddresses = allowedIPAddresses; } }
接着是把插件配置进去
<broker xmlns="http://activemq.apache.org/schema/core" brokerName="localhost" dataDirectory="${activemq.base}/data"> <plugins> <bean xmlns="http://www.springframework.org/schema/beans" id="ipAuthenticationPlugin" class="org.apache.activemq.book.ch6.IPAuthenticationPlugin"> <property name="allowedIPAddresses"> <list> <value>127.0.0.1</value> </list> </property> </bean> </plugins> <transportConnectors> <transportConnector name="openwire" uri="tcp://localhost:61616" /> </transportConnectors> </broker>
基于证书
activemq的安全机制实现过证书的授权,更多详情查看最新的activemq文档。