我们在使用MQ搭建系统的时候,经常要开放队列给外接系统访问。外接系统的稳定性是不可控的。为了防止外接系统不稳定导致误操作破坏了MQ的配置或数据,需要对MQ做比较精细的权限控制。

我的需求是这样的:

我有一个数据查询服务,并且通过MQ推送数据变动消息。对接MQ的每个系统都会有自己一个独立的队列来读取消息。所有消息通过一个扇形交换机广播到所有队列。我需要这个交换机和所有队列都由管理员统一创建好。而其他系统使用的用户,均没有创建交换机和队列的权限。数据查询服务只拥有推送消息的权限,其他对接MQ的系统只拥有从自己队列读取消息的权限。

我们使用的MQ是RabbitMQ。我在网上搜了一下,大部分讲的是用户角色配置。对于MQ的资源授权管理讲的比较少。以下内容将主要讲解RabbitMQ权限控制的基本概念和模型。理解了这些基本概念后,应该可以愉快地使用RabbitMQ管理界面进行授权操作。如果你们只有命令行可用,也能很轻松地找到相应的命令。

RabbitMQ初始化

RabbitMQ初次启动时,初始创建这两个东西:

  • 一个名称为/的virtual host
  • guest用户,拥有/的全部权限,只能localhost访问

RabbitMQ授权模型

第一级控权单位是virtual host,virtual host下面第二级的控权单位是resource(包含exchange和queue)。两个相同名称的resource如果分属不同的virtual host,则算是不同的resource。

什么是virtual host:

RabbitMQ is multi-tenant system: connections, exchanges, queues, bindings, user permissions, policies and some other things belong to virtual hosts, logical groups of entities.

就是说RabbitMQ是多租户系统,简单理解就是把多virtual host当做多个MQ系统来用就好了……

当用户访问MQ时,首先触发第一级控权,判断用户是否有访问该virtual host的权限

若可访问,则进行第二级控权,判断用户是否具有操作(operation)所请求的资源的权限

RabbitMQ定义了操作(operation)有这么三种:

  • configure:主要对应创建exchange和queue操作;
  • write:write主要对应绑定和推送消息操作;
  • read:read主要对应读取消息操作。

后面有个表格列出了具体的对应关系。

当管理员对一个用户进行授权时,要配置两个元素:

  1. 允许什么操作,即configure、write、read三种operation;
  2. 操作什么resource。用户是否拥有某资源的权限,通过对该资源的名称与授权时配置的正则进行匹配来判断。

下面这张表详细描述了operation、resource和用户可执行的操作的关系:

例子:

  • 如果要给用户授权可以往exchange foo推消息,则我们找到basic.publish这行,格子不是空的只有write这列,所以我们需要给用户授权一个write权限,其正则可以匹配字符串foo(比如说^foo$,或者.*等)。
  • 如果要给用户授权只能从queue bar读取消息,则需要给用户授权一个read权限,其正则可以匹配字符串bar

进一步了解

本文内容基本来自官网手册,如果需要更详细的说明——比如说topic的授权,可以直接看手册。很多时候,当你刚接触一个新工具时,比起在互联网上瞎逛,直接阅读官方手册效率会高很多。虽然手册比较冗长,而且大部分只有纯英文,但毕竟最远的路,就是最快的捷径。

RabbitMQ权限控制原理的更多相关文章

  1. RabbitMQ权限

    RabbitMQ 引言 RabbitMQ是一个在AMQP基础上完整的,可复用的企业消息系统.他遵循Mozilla Public License开源协议. MQ全称为Message Queue, 消息队 ...

  2. rabbitMQ权限相关命令

    权限相关命令为: (1) 设置用户权限 rabbitmqctl  set_permissions  -p  VHostPath  User  ConfP  WriteP  ReadP (2) 查看(指 ...

  3. RabbitMQ 权限分离&HA操作文档

    概要 默认情况下,使用帐号guest帐号登陆MQ,所有用户的queue信息,全部创建在根目录/的virtual host下,而这样,就会导致,任一用户登录后,都能看到其他用户的queue信息. 针对以 ...

  4. rabbitmq权限细分二

    禁止用户远程登录 主要有以下几步 1.进入容器 docker exec -it ID /bin/bash 2.打开配置文件 vi /etc/rabbitmq/rabbitmq.conf 3.加入配置, ...

  5. 【SpringSecurity系列2】基于SpringSecurity实现前后端分离无状态Rest API的权限控制原理分析

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  6. RabbitMQ用户角色及权限控制

    RabbitMQ的用户角色分类:none.management.policymaker.monitoring.administrator RabbitMQ各类角色描述:none不能访问 managem ...

  7. RabbitMQ用户角色及权限控制(转)

    转载至:https://blog.csdn.net/awhip9/article/details/72123257 2017年05月15日 10:39:26 awhip9 阅读数:3538   ### ...

  8. RabbitMQ用户角色及权限控制 -2

    1.RabbitMQ的用户角色分类: none.management.policymaker.monitoring.administrator none 不能访问 management plugin ...

  9. RabbitMQ用户角色及权限控制(不错)

    ########################用户角色####################### RabbitMQ的用户角色分类:none.management.policymaker.moni ...

随机推荐

  1. python爬虫数据解析之正则表达式

    爬虫的一般分为四步,第二个步骤就是对爬取的数据进行解析. python爬虫一般使用三种解析方式,一正则表达式,二xpath,三BeautifulSoup. 这篇博客主要记录下正则表达式的使用. 正则表 ...

  2. AspNetCore 文件上传(模型绑定、Ajax) 两种方式 get到了吗?

    就目前来说,ASP.NET Core2.1了,已经相当成熟了,希望下个项目争取使用吧!! 上传文件的三种方式("我会的,说不定还有其他方式") 模型绑定 Ajax WebUploa ...

  3. Jquery 对DOM 的操作

     .focus 获取焦点  .blus离开焦点----------------------------------------------------------------------------- ...

  4. Python爬虫入门教程 36-100 酷安网全站应用爬虫 scrapy

    爬前叨叨 2018年就要结束了,还有4天,就要开始写2019年的教程了,没啥感动的,一年就这么过去了,今天要爬取一个网站叫做酷安,是一个应用商店,大家可以尝试从手机APP爬取,不过爬取APP的博客,我 ...

  5. 前后端数据加密传输 RSA非对称加密

    任务需求:要求登陆时将密码加密之后再进行传输到后端. 经过半天查询摸索折腾,于是有了如下成果: 加密方式:RSA非对称加密.实现方式:公钥加密,私钥解密.研究进度:javascript与java端皆已 ...

  6. SpringCloud Config手动刷新及自动刷新

    1.Config手动刷新a.使用@RefreshScope注解 import org.springframework.beans.factory.annotation.Value; import or ...

  7. PC逆向之代码还原技术,第四讲汇编中减法的代码还原

    目录 PC逆向之代码还原技术,第四讲汇编中减法的代码还原 一丶汇编简介 二丶高级代码对应汇编观看. 1.代码还原解析: 三丶根据高级代码IDA反汇编的完整代码 四丶知识总结 PC逆向之代码还原技术,第 ...

  8. 计算机网络通信TCP/IP协议浅析 网络发展简介(二)

    本文对计算机网络通信的原理进行简单的介绍 首先从网络协议分层的概念进行介绍,然后对TCP.IP协议族进行了概念讲解,然后对操作系统关于通信抽象模型进行了简单介绍,最后简单描述了socket   分层的 ...

  9. 痞子衡嵌入式:飞思卡尔Kinetis系列MCU启动那些事(3)- KBOOT配置(FOPT/BOOT Pin/BCA)

    大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家介绍的是飞思卡尔Kinetis系列MCU的KBOOT配置. KBOOT是支持配置功能的,配置功能可分为两方面:一.芯片系统的启动配置:二.KBO ...

  10. VisualStudio移动开发(C#、VB.NET)Smobiler开发平台——BarcodeView控件的使用方式,.Net移动开发

    BarcodeView控件 一.          样式一 我们要实现上图中的效果,需要如下的操作: 从工具栏上的“Smobiler Components”拖动一个BarcodeView控件到窗体界面 ...