告别裸奔,聊聊主流消息队列的认证和鉴权!

news2024/12/26 11:27:17

大家好,我是君哥。

我们在使用消息队列时,经常关注的是消息队列收发消息的功能。但好多时候需要对客户端有一定的限制,比如只有持有令牌的客户端才能访问集权,不允许 Producer 发送消息到某一个 Topic,或者某一个 Topic 只能给固定 Consumer 消费。

为了能对客户端有一定限制,需要对消息队列进行认证和鉴权,今天我们就来聊一聊主流消息队列是怎么做认证和鉴权的。

1 认证

认证是指通过一定手段,对访问用户身份进行校验,只有校验通过的用户,才允许访问。

默认情况下,主流消息队列是不开启认证的,这也意味着只要网络能通,客户端就可以访问 Broker 集群,可以说集群处于“裸奔”的状态,有很大的风险。

消息队列的认证,是指对客户端进行身份确认,只有认证通过的客户端才可以访问 Broker 集群资源。

常见的认证的方式有很多,主流消息队列一般会定义一个认证框架来制定认证规则,然后通过实现这个框架来定义具体认证方式。

1.1 SSL/TLS

SSL(Secure Sockets Layer)是为网络通信提供安全及数据完整性的一种安全协议,消息队列基于 SSL 的认证是指 Broker 和客户端的认证,可以是单向认证,也可以是双向认证。

消息队列为了提升吞吐量,降低延迟,一般都是基于 TCP/IP 协议构建的,SSL 协议位于应用层和传输层之间。

图片

使用 SSL 进行通信前,客户端和 Broker 都需要引入各自的证书,并且引入对应编程语言的 SSL 库。通信时,客户端携带对应的证书和公钥信息,与 Broker 建立连接,Broker 则对客户端进行认证,认证成功后,客户端才能进行下一步操作。

Kafka 在早期的 0.9 版本引入了 SSL。

SSL3.0 版本后改名成 TLS,TLS 是 SSL 的升级版本。Pulsar 和 RabbitMQ 这 2 个消息队列支持 TLS。

1.2 SASL

SASL 全称是 Simple Authentication and Security Laye,是一种标准化的 C/S 身份认证协议,客户端和服务器基于这个协议交换身份信息,验证成功后才可以建立连接。

SASL 其实是一中认证框架,基于这个框架我们可以实现多种认证机制,比如用户名密码、Kerberos、NTLM、OAuth等。

Kafka 0.9.0.0 版本开始支持 SASL,并且基于 SASL 实现了多种认证插件。如下图:

图片

  • GSSAPI 是用来支持 Kerberos 协议的,如果公司已经做过 Kerberos 认证,那使用 GSSAPI 会非常方便。

  • PLAIN 是一种使用用户名密码的认证机制,可以跟 SSL 搭配使用,更加适合小公司的 Kafka 集群使用。PLAIN 有一个很大的缺点就是增加或删除用户,需要重启 Broker 集群才能生效,因为认证用户保存在静态文件中,Broker 集群不能动态加载。

  • SCRAM 将认证用户保存在 ZooKeeper,解决了 PLAIN 增加或删除用户需要重启集群的问题。

  • OAUTHBEARER 是 Kafka 在 2.0 版本引入的,主要是为了实现 OAuth2 认证机制。

  • Delegation Token 是 SASL 机制的补充,它是基于 Token 的一种认证机制,它的特点是非常轻量级,用户获取到一次 Token 之后,后面的请求过程中可以继续使用这个 Token(除了 Token 更新),无须再次获取。

1.3 AK/SK

RocketMQ 基于 AK/SK 实现认证方式,通过对称加密来验证客户端身份,保证认证密码不会以明文在网络上传输,提升认证安全。

客户端发送请求时,使用加密算法对请求参数进行加密,然后生成数字签名,在请求中发送用户名和签名信息。Broker 收到请求后,首先查询用户名是否在本地库(不存在则认证失败),如果存在,则用相同的算法对请求进行加密和签名,然后比较签名结果跟客户端请求中的签名信息是否一致。

1.4 自定义框架

RabbitMQ 和 Pulsar 都提供了自定义、可插拔的身份认证框架,然后基于框架的接口来实现各种认证插件,在配置文件中指定要使用的认证插件。

Pulsar 内置的认证插件包括 JWT、OAuth2.0、Athenz、Kerberos 等。

RabbitMQ 实现的认证插件包括 AMQPLAIN 和 PLAIN。

总结:认证框架的选择很多,Kafka 选择的 SASL 机制更加完善,功能更加强大,实现起来也更加复杂。而自定义的机制则实现更加简单,同时也能满足消息队列的认证需求。

下面对主流消息队列使用的认证方式总结如下:

消息队列认证方式
KafkaSASL:GSSAPI、PLAIN、SCRAM、OAUTHBEARER、Delegation Token
RocketMQAK/SK
RabbitMQAMQPLAIN、PLAIN
PulsarJWT、OAuth2.0、Athenz、Kerberos

2 鉴权

客户端通过认证后,就跟 Broker 建立了连接,但是并不是每个客户端都可以操作所有的集群资源,比如银行里面的不同业务数据不能给所有客户端访问。这就需要对客户端做资源访问限制。

授权是指对客户端赋予一定的权限,比如允许客户端从某一个 Topic 拉取消息。

消息队列对于资源的操作分为两种,一种是运维相关操作,比如创建 Topic、创建用户等,权限一般分配给运维人员。另一种是数据相关操作,包括生产消费消息,权限一般分配给业务系统客户端。

要实现资源控制,一般分成两种方式,下面详细介绍一下。

2.1 链路分开

如果分开两条链路来操作集群资源,一条链路由运维人员来通过 HTTP 来操作集群资源,另一条链路由业务系统客户端通过 TCP 来收发消息,这样实现权限控制就非常容易,成本很低。

图片

主流消息队列 Pulsar 和 RabbitMQ 就是这种方式实现的。

这种方式也有一个问题,就是集群中需要开启两个 Server 来服务两个链路。

2.2 一条链路

跟两条链路相对应的是,运维操作和业务客户端操作都通过一条链路来实现。

图片

一条链路的方式集群不用启动两个 Server,但是需要根据用户来分配权限,需要在代码层面实现集群的资源控制,实现难度较大。主流消息队列中的 Kafka 和 RocketMQ 就是用的这种方式。

2.3 访问控制

无论是两条链路还是一条链路,都无法细粒度地控制集群资源。比如运维操作要限制某个用户只能添加 Topic 而不能删除 Topic,业务系统客户端只被允许从某一个 Topic 发送和消费消息。

想要细粒度的控制集群资源,就需要引入鉴权模型,常见的鉴权模型如下:

  • ACL:Access Control List,也就是访问控制列表,特点是直接把用户和权限关联起来。

  • RBAC:Role Based Access Control,基于角色的权限控制,特点是引入了角色的概念,先将资源权限分配给角色,再把角色分配给用户。

  • ABAC:Attribute Based Access Control,基于属性的权限控制,是一种动态授权策略,他把用户要访问的资源跟资源的属性、环境因素结合起来,比如对一个资源的访问限制到时间级别。

  • PBAC:Policy Based Access Control,基于策略的权限控制,可以基于任务或事件等其他不同的场景灵活配置访问权限。

2.4 ACL

主流的消息队列都是基于 ACL 来实现鉴权的。要实现 ACL(Access Control List) ,首先需要定义好集群中有哪些资源或哪些操作需要做鉴权。

主流消息队列中,Kafka 的资源或操作定义非常细致,资源包括:Topic、消费者组、Broker 集群等,操作则包括:读、写、创建、删除、修改、订阅等。Kafka 对资源的操作定义成不同接口(比如创建 Topic),通过接口来做鉴权控制。见官网 KIP-11  下面链接。

https://cwiki.apache.org/confluence/display/KAFKA/KIP-11+-+Authorization+Interface

图片

Kafka 实现了可插拔的授权机制,该机制把所有 ACL 项保存在 ZooKeeper,Zookeeper 创建 /kafka-acl 节点进行保存。Kafka 提供了 kafka-acls 脚本,可以动态修改 ACL 配置项,并且可以立即生效。在 server.properties 中加入下面配置,就可以开启 ACL 鉴权:

authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

其中 SimpleAclAuthorizer 是 Kafka 自带的鉴权实现类,这里也可以配置自定义的鉴权实现类。

RabbitMQ 的架构相对简单,定义的资源主要包括:Exchange、Queue 等,操作则包括读、写、配置。因为 RabbitMQ 的集群配置是通过 HTTP API 操作,所以并没有提供接口维度的权限控制。

Pulsar 的鉴权包括生产、消费、Lookup、Function、Source(从数据源读取数据)、Sink(数据存入下游)、Packages(保存用户代码包)。鉴权信息保存在 Zookeeper 的 /admin/policies/[namespace] 目录下。Pulsar 也支持可插拔的授权框架,默认实现类是 PulsarAuthorizationProvider。

RocketMQ 中的 ACL 提供了 Topic 资源级别的用户访问控制。用户在使用 RocketMQ 权限控制时,可以在 Client 客户端通过 RPCHook 注入 AccessKey 和 SecretKey 签名,同时将对应的权限控制属性(包括 Topic 访问权限、IP 白名单和 AccessKey 和 SecretKey 签名等)设置在 distribution/conf/plain_acl.yml 的配置文件中。

RocketMQ 对 Topic 资源访问权限控制定义了四种,下面表格来自官网 ,

https://rocketmq.apache.org/zh/docs/4.x/bestPractice/04access/

权限含义
DENY拒绝
ANYPUB 或者 SUB 权限
PUB发送权限
SUB订阅权限

权限定义的关键属性参考 distribution/conf/plain_acl.yml 配置文件。

RocketMQ 的用户分为普通用户和管理员用户,跟普通用户相比,管理员用户具有更新或创建主题、更新 Broker 配置、删除主题、更新或创建订阅组信息、删除订阅组信息等权限。

2.5 超级用户

消息队列的超级用户能够访问集群中所有的资源,对集群运维非常方便。比如分配出去的用户密码被恶意修改了,集群无法访问,这时超级用户可以把密码再改回来。超级用户可以让运维人员方便地执行紧急性、临时性地操作。

超级用户一般固定在配置文件中,客户端对集群进行访问控制的时候,集群对用户是否是超级用户进行判断。

Kafka 和 Pulsar 都有超级用户的机制,RabbitMQ 则没有超级用户。

3 总结

默认情况下,主流消息队列都是不开启认证和鉴权的。但在复杂的业务架构中,为了保证队列中数据安全性,必须开启认证和鉴权。消息队列的认证机制有很多,鉴权则主要是通过 ACL 来实现。希望本文能对你理解消息队列的认证和鉴权有所帮助。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1709675.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

网工必备的几种远程工具,教你使用

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部 下午好,我的网工朋友。 干网工这行,工具是必备的,不会用工具赋能工作的网工不是好网工! 拥有一套…

Matplotlib 实践指南:图形样式、风格与标记探索

目录 前言 第一点:导入模块 第二点:创建二维图 第三点:创建统计图 总结 前言 Matplotlib 是一个强大的数据可视化库,可用于创建各种类型的图形。在本文中,我们将研究如何在 Matplotlib 中设置图形的颜色、风格和标记…

深入了解Nginx(一):Nginx核心原理

一、Nginx核心原理 本节为大家介绍Nginx的核心原理,包含Reactor模型、Nginx的模块化设计、Nginx的请求处理阶段. (本文源自微博客,且已获得授权) 1.1、Reactor模型 Nginx对高并发IO的处理使用了Reactor事件驱动模型。Reactor模型的基本组件包含时间收集…

redis数据类型set,zset

华子目录 Set结构图相关命令sdiff key1 [key2]sdiffstore destination key1 [key2...]sinter key1 [key2...]sinterstore destination key1 [key2...]sunion key1 [key2...]sunionstore destination key1 [key2...]smove source destination memberspop key [count]sscan key c…

51驱动DY-SV20F语音播放模块

51驱动DY-SV20F语音播放模块 简介模块特征电气参数工作模式配置原理图代码结果图 简介 DY-SV20F 是一款一对一分段触发控制播放器,支持 MP3,WAV 解码格式; 可分段触发 9 首曲目;低电平触发;3.7-5VDC 宽电压供电,直驱 …

【安装笔记-20240520-Windows-自定义 WSL2 安装位置】

安装笔记-系列文章目录 安装笔记-20240520-Windows-自定义 WSL2 安装位置 文章目录 安装笔记-系列文章目录安装笔记-20240520-Windows-自定义 WSL2 安装位置 前言一、软件介绍名称:WSL(适用于 Linux 的 Windows 子系统)主页官方介绍 二、安装…

Java面试八股之有哪些线程安全的集合类

Java中有哪些线程安全的集合类 在Java中,并非所有的集合类都是线程安全的,但在多线程环境下,确保集合操作的线程安全性至关重要。以下是几个典型的线程安全集合类: Vector: 类似于ArrayList,但它是线程安全的。它通过…

快团团帮卖团长如何修改供货大团长复制帮卖团的信息?

一、功能说明 在复制帮卖团中,帮卖团长可以选择:①修改团购内容 ②同步大团长的团购内容 二、具体操作步骤 点击“编辑后帮卖”,在团购设置中设置开启/关闭“同步大团长内容” 开启“同步大团长内容”后,大团长修改图文后&#xf…

微信小程序毕业设计-校园综合服务系统项目开发实战(附源码+论文)

大家好!我是程序猿老A,感谢您阅读本文,欢迎一键三连哦。 💞当前专栏:微信小程序毕业设计 精彩专栏推荐👇🏻👇🏻👇🏻 🎀 Python毕业设计…

Incogniton流覽器使用代理詳細教程

作為一款用於多帳戶管理的反檢測流覽器,Incogniton可以與Mac和Windows系統相容並且試用體驗良好。這篇入門級教程會幫你瞭解如何在Incogniton中使用代理。運用Incogniton,你可以通過虛擬流覽器配置檔代替多臺電腦,同時確保數據安全和私密。這…

【JAVA |图书管理系统】JAVA实现图书管理系(附完整代码)

✨✨谢谢大家捧场,祝屏幕前的小伙伴们每天都有好运相伴左右,一定要天天开心哦!✨✨ 🎈🎈作者主页: 🎈丠丠64-CSDN博客🎈 ✨✨ 帅哥美女们,我们共同加油!一起…

天津企业采购云管平台需要考虑哪些?选择哪家好?

随着天津上云企业的增加,云管理需求也逐步增加。因此采购云管平台是非常必要的。那天津企业采购云管平台需要考虑哪些?选择哪家好? 天津企业采购云管平台需要考虑哪些? 【回答】:天津企业采购云管平台需要考虑的因素比…

xcode依赖包package已经安装,但是提示No such module ‘Alamofire‘解决办法

明明已经通过xcode自带的swift包管理器安装好了依赖包,但是却还是提示:No such module,这个坑爹的xcode,我也只能说服气,但是无奈,没办法攻打苹果总部,只能自己想解决办法了 No such module Ala…

企业融资新渠道:一文详解动产抵押

在当今瞬息万变的商业环境中,资金是企业发展的血液。面对融资难题,动产抵押作为一种灵活高效的融资方式,越来越受到企业的青睐。本文将为您全面解析动产抵押的概念、流程、优势及注意事项,助力您的企业解锁融资新途径。 什么是动…

西储大学数据集学习

数据集下载地址:CWRU凯斯西储大学轴承数据数据集——附:下载链接_西储大学轴承数据集下载-CSDN博客 最近研究故障诊断,先对使用比较多的西储大学数据集研究。以资料【1】中的内容展开研究。 1、轴承的结构 轴承分为外圈、内圈、保持架和滚珠…

NiuCloud-Admin-SAAS:引领前端技术革新与SaaS应用快速开发的未来

一、引言 在数字化快速发展的今天,企业对于快速搭建、高效运营的SaaS(Software-as-a-Service)系统的需求日益增长。为满足这一需求,NiuCloud-Admin-SAAS作为一款快速开发SaaS通用管理系统后台框架,凭借其先进的技术栈…

linux安装Java报错cannot execute binary file: Exec format error

uname -a 查看自己jdk版本 下载JDK路径Java Archive Downloads - Java SE 17 下载对应的版本jdk jdk-17.0.10_linux-aarch64_bin.tar.gz jdk-17.0.10_linux-x64_bin.tar.gz

JQuery 入门

一、jQuery 概述 1、JavaScript 库 仓库:可以把很多东西放到这个仓库里面。找东西只需要到仓库里面查找就可以 JavaScript 库:即library,是一个封装好的特定的集合(方法和函数)。从封装一大堆函数的角度理解库,就是在…

Android 项目Gradle文件讲解(Groovy和Kotlin)

Android 项目Gradle文件讲解(Groovy和Kotlin) 前言正文一、Gradle的作用二、Gradle的种类① 工程build.gradle② 项目build.gradle③ settings.gradle④ gradle.properties⑤ gradle-wrapper.properties⑥ local.properties 三、Groovy和Kotlin的语言对比…

数字中国 | 官媒“点名”人大金仓出圈

随着数字化浪潮的不断推进,人大金仓作为数字化转型的先行者,亮相第七届数字中国建设峰会现场,引起了福建媒体的广泛关注。人大金仓以其在数字化领域的卓越成果,成为了媒体报道的焦点,展现了其在推动数字中国建设过程中…