我们在使用MQ搭建系统的时候,经常要开放队列给外接系统访问。外接系统的稳定性是不可控的。为了防止外接系统不稳定导致误操作破坏了MQ的配置或数据,需要对MQ做比较精细的权限控制。

我的需求是这样的:

我有一个数据查询服务,并且通过MQ推送数据变动消息。对接MQ的每个系统都会有自己一个独立的队列来读取消息。所有消息通过一个扇形交换机广播到所有队列。我需要这个交换机和所有队列都由管理员统一创建好。而其他系统使用的用户,均没有创建交换机和队列的权限。数据查询服务只拥有推送消息的权限,其他对接MQ的系统只拥有从自己队列读取消息的权限。

我们使用的MQ是RabbitMQ。我在网上搜了一下,大部分讲的是用户角色配置。对于MQ的资源授权管理讲的比较少。以下内容将主要讲解RabbitMQ权限控制的基本概念和模型。理解了这些基本概念后,应该可以愉快地使用RabbitMQ管理界面进行授权操作。如果你们只有命令行可用,也能很轻松地找到相应的命令。

RabbitMQ初始化

RabbitMQ初次启动时,初始创建这两个东西:

  • 一个名称为/的virtual host
  • guest用户,拥有/的全部权限,只能localhost访问

RabbitMQ授权模型

第一级控权单位是virtual host,virtual host下面第二级的控权单位是resource(包含exchange和queue)。两个相同名称的resource如果分属不同的virtual host,则算是不同的resource。

什么是virtual host:

RabbitMQ is multi-tenant system: connections, exchanges, queues, bindings, user permissions, policies and some other things belong to virtual hosts, logical groups of entities.

就是说RabbitMQ是多租户系统,简单理解就是把多virtual host当做多个MQ系统来用就好了……

当用户访问MQ时,首先触发第一级控权,判断用户是否有访问该virtual host的权限

若可访问,则进行第二级控权,判断用户是否具有操作(operation)所请求的资源的权限

RabbitMQ定义了操作(operation)有这么三种:

  • configure:主要对应创建exchange和queue操作;
  • write:write主要对应绑定和推送消息操作;
  • read:read主要对应读取消息操作。

后面有个表格列出了具体的对应关系。

当管理员对一个用户进行授权时,要配置两个元素:

  1. 允许什么操作,即configure、write、read三种operation;
  2. 操作什么resource。用户是否拥有某资源的权限,通过对该资源的名称与授权时配置的正则进行匹配来判断。

下面这张表详细描述了operation、resource和用户可执行的操作的关系:

例子:

  • 如果要给用户授权可以往exchange foo推消息,则我们找到basic.publish这行,格子不是空的只有write这列,所以我们需要给用户授权一个write权限,其正则可以匹配字符串foo(比如说^foo$,或者.*等)。
  • 如果要给用户授权只能从queue bar读取消息,则需要给用户授权一个read权限,其正则可以匹配字符串bar

进一步了解

本文内容基本来自官网手册,如果需要更详细的说明——比如说topic的授权,可以直接看手册。很多时候,当你刚接触一个新工具时,比起在互联网上瞎逛,直接阅读官方手册效率会高很多。虽然手册比较冗长,而且大部分只有纯英文,但毕竟最远的路,就是最快的捷径。

RabbitMQ权限控制原理的更多相关文章

  1. RabbitMQ权限

    RabbitMQ 引言 RabbitMQ是一个在AMQP基础上完整的,可复用的企业消息系统.他遵循Mozilla Public License开源协议. MQ全称为Message Queue, 消息队 ...

  2. rabbitMQ权限相关命令

    权限相关命令为: (1) 设置用户权限 rabbitmqctl  set_permissions  -p  VHostPath  User  ConfP  WriteP  ReadP (2) 查看(指 ...

  3. RabbitMQ 权限分离&HA操作文档

    概要 默认情况下,使用帐号guest帐号登陆MQ,所有用户的queue信息,全部创建在根目录/的virtual host下,而这样,就会导致,任一用户登录后,都能看到其他用户的queue信息. 针对以 ...

  4. rabbitmq权限细分二

    禁止用户远程登录 主要有以下几步 1.进入容器 docker exec -it ID /bin/bash 2.打开配置文件 vi /etc/rabbitmq/rabbitmq.conf 3.加入配置, ...

  5. 【SpringSecurity系列2】基于SpringSecurity实现前后端分离无状态Rest API的权限控制原理分析

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  6. RabbitMQ用户角色及权限控制

    RabbitMQ的用户角色分类:none.management.policymaker.monitoring.administrator RabbitMQ各类角色描述:none不能访问 managem ...

  7. RabbitMQ用户角色及权限控制(转)

    转载至:https://blog.csdn.net/awhip9/article/details/72123257 2017年05月15日 10:39:26 awhip9 阅读数:3538   ### ...

  8. RabbitMQ用户角色及权限控制 -2

    1.RabbitMQ的用户角色分类: none.management.policymaker.monitoring.administrator none 不能访问 management plugin ...

  9. RabbitMQ用户角色及权限控制(不错)

    ########################用户角色####################### RabbitMQ的用户角色分类:none.management.policymaker.moni ...

随机推荐

  1. Eclipse+Android开发:Android模拟器快捷键

    Android模拟器快捷键:          按键 按键作用  Home  Home key  Home键  ESC  Back Key  后退键  F1  Menu key  菜单键  F2  S ...

  2. PHP实现登录注册

    一.首先实现一个PHP的简单登录注册的话 我们要简单的与后端定义一下接口和传输数据的方式 并且我们要有一个phpStudy服务器. 第一步:当我们点击注册按钮的时候数据库要接收到客户端请求的数据  第 ...

  3. 【Spark篇】---Spark中广播变量和累加器

    一.前述 Spark中因为算子中的真正逻辑是发送到Executor中去运行的,所以当Executor中需要引用外部变量时,需要使用广播变量. 累机器相当于统筹大变量,常用于计数,统计. 二.具体原理 ...

  4. ios 自动化构建 code-select: error: tool 'xcodebuild' requires Xcode, but active developer directory.....

    问题描述: Pod installation complete! There are 2 dependencies from the Podfile and 3 total pods installe ...

  5. ActionMQ集群部署

    ActiveMQ集群部署 一.应用场景 消息中间件是分布式系统中重要的组件,主要解决应用耦合,异步消息,流量削锋等问题.实现高性能,高可用,可伸缩和最终一致性架构.是大型分布式系统不可缺少的中间件.目 ...

  6. UPC:ABS

    问题 G: ABS 时间限制: 1 Sec  内存限制: 128 MB提交: 537  解决: 186[提交] [状态] [讨论版] [命题人:admin] 题目描述 We have a deck c ...

  7. 大数据技术之_19_Spark学习_01_Spark 基础解析 + Spark 概述 + Spark 集群安装 + 执行 Spark 程序

    第1章 Spark 概述1.1 什么是 Spark1.2 Spark 特点1.3 Spark 的用户和用途第2章 Spark 集群安装2.1 集群角色2.2 机器准备2.3 下载 Spark 安装包2 ...

  8. springboot+springcloud集成jar

    <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/20 ...

  9. 一统江湖的大前端(1)——PPT制作库impress.js

    <一统江湖的大前端>系列是自己的学习笔记,旨在介绍javascript在非网页开发领域的应用案例和发现各类好玩的js库,不定期更新.如果你对前端的理解还是写写页面绑绑事件,那你真的是有点O ...

  10. 用javaweb连接数据库用javabean、severlet实现增删改查

    样 很重要的一点是建立数据库的连接 数据库是一切操作的前提 不管是增加 删除 修改 查询 都需要调用数据库连接程序 再就是java的类的编写  写完类后需要对其进行增删改查方法的 编写 这是dao层的 ...