一、认证

认证(Authentication):验证某个实体或者用户是否有权限访问受保护资源。

MQ提供两种插件用于权限认证:
(一)、Simple authentication plug-in:直接把相关的权限认证信息配置到XML文件中。

配置 conf/activemq.xml 的 broke元素添加插件:

        <plugins>

            <simpleAuthenticationPlugin>

                <users>

                    <authenticationUser username="admin" password="password" groups="admins,publishers,consumers"/>

                    <authenticationUser username="publisher" password="password"  groups="publishers,consumers"/>

                    <authenticationUser username="consumer" password="password" groups="consumers"/>

                    <authenticationUser username="guest" password="password"  groups="guests"/>

                </users>

            </simpleAuthenticationPlugin>

        </plugins>

代码中的认证方式两种:

1、在创建Connection的时候认证

//用户认证

Connection conn = connFactory.createConnection("admin","password");

2、也可以在创建ConnectionFactory工厂的时候认证

ConnectionFactory connFactory = new ActiveMQConnectionFactory("admin","password",url);

(二)、JAAS authentication plug-in:实现了JAAS API,提供了一个更强大的和可定制的权限方案。

配置方式:

1、在conf目录中创建 login.config 文件 用户 配置 PropertiesLoginModule:

activemq-domain {

    org.apache.activemq.jaas.PropertiesLoginModule required debug=true

    org.apache.activemq.jaas.properties.user="users.properties"

    org.apache.activemq.jaas.properties.group="groups.properties";

};

2、在conf目录中创建users.properties 文件用户配置用户:

# 创建四个用户

admin=password

publisher=password

consumer=password

guest=password

3、在conf目录中创建groups.properties 文件用户配置用户组:

#创建四个组并分配用户

admins=admin

publishers=admin,publisher

consumers=admin,publisher,consumer

guests=guest

4、将该配置插入到activemq.xml中:

<!-- JAAS authentication plug-in -->

        <plugins>

            <jaasAuthenticationPlugin configuration="activemq-domain" />

        </plugins>

5、配置MQ的启动参数:

使用dos命令启动:

D:\tools\apache-activemq-5.6.0-bin\apache-activemq-5.6.0\bin\win64>activemq.bat -Djava.security.auth.login.config=D:/tools/apache-activemq-5.6.0-bin/apache-activemq-5.6.0/conf/login.config

6、在代码中的认证方式与Simple authentication plug-in 相同。

二、授权

基于认证的基础上,可以根据实际用户角色来授予相应的权限,如有些用户有队列写的权限,有些则只能读等等。
两种授权方式
(一)、目的地级别授权

JMS目的地的三种操作级别:
  Read :读取目的地消息权限
  Write:发送消息到目的地权限
  Admin:管理目的地的权限

配置方式  conf/activemq.xml :

<plugins>

    <jaasAuthenticationPlugin configuration="activemq-domain" />

    <authorizationPlugin>

        <map>

            <authorizationMap>

                <authorizationEntries>

                    <authorizationEntry topic="topic.ch09" read="consumers" write="publishers" admin="publishers" />

                </authorizationEntries>

            </authorizationMap>

        </map>

    </authorizationPlugin>

</plugins>

(二)、消息级别授权

授权特定的消息。

开发步骤:
1、实现消息授权插件,需要实现MessageAuthorizationPolicy接口

public class AuthorizationPolicy implements MessageAuthorizationPolicy {

    private static final Log LOG = LogFactory.

        getLog(AuthorizationPolicy.class);

    public boolean isAllowedToConsume(ConnectionContext context,

        Message message) {

        LOG.info(context.getConnection().getRemoteAddress());

        String remoteAddress = context.getConnection().getRemoteAddress();

        if (remoteAddress.startsWith("/127.0.0.1")) {

            LOG.info("Permission to consume granted");

            return true;

        } else {

        LOG.info("Permission to consume denied");

        return false;

    }

    }

}

2、把插件实现类打成JAR包,放入到activeMq 的 lib目录中

3、在activemq.xml中设置<messageAuthorizationPolicy>元素

<messageAuthorizationPolicy>

    <bean class="org.apache.activemq.book.ch6.AuthorizationPolicy" xmlns="http://www.springframework.org/schema/beans" />

</messageAuthorizationPolicy>

三、自定义安全插件

插件逻辑需要实现BrokerFilter类,并且通过BrokerPlugin实现类来安装,用于拦截,Broker级别的操作:

  • 接入消费者和生产者
  • 提交事务
  • 添加和删除broker的连接

demo:基于IP地址,限制Broker连接。

package ch02.ptp;

import java.util.List;

import org.apache.activemq.broker.Broker;

import org.apache.activemq.broker.BrokerFilter;

import org.apache.activemq.broker.ConnectionContext;

import org.apache.activemq.command.ConnectionInfo;

public class IPAuthenticationBroker extends BrokerFilter {

    List<String> allowedIPAddresses;

    public IPAuthenticationBroker(Broker next, List<String>allowedIPAddresses) {

        super(next);

        this.allowedIPAddresses = allowedIPAddresses;

    }

    public void addConnection(ConnectionContext context, ConnectionInfo info) throws Exception {

        String remoteAddress = context.getConnection().getRemoteAddress();

        if (!allowedIPAddresses.contains(remoteAddress)) {

        throw new SecurityException("Connecting from IP address "

            + remoteAddress+ " is not allowed" );

        }

        super.addConnection(context, info);

    }

}

安装插件:

package ch02.ptp;

import java.util.List;

import org.apache.activemq.broker.Broker;

import org.apache.activemq.broker.BrokerPlugin;

public class IPAuthenticationPlugin implements BrokerPlugin {

    List<String> allowedIPAddresses;

    public Broker installPlugin(Broker broker) throws Exception {

        return new IPAuthenticationBroker(broker, allowedIPAddresses);

    }

    public List<String> getAllowedIPAddresses() {

        return allowedIPAddresses;

    }

    public void setAllowedIPAddresses(List<String> allowedIPAddresses) {

        this.allowedIPAddresses = allowedIPAddresses;

    }

}

ps:将这连个类打成jar包放到activemq的lib目录下

配置自定义插件:

<plugins>

    <bean xmlns="http://www.springframework.org/schema/beans" id="ipAuthenticationPlugin"

       class="org.apache.activemq.book.ch6.IPAuthenticationPlugin">

        <property name="allowedIPAddresses">

            <list>

              <value>127.0.0.1</value>

            </list>

        </property>

    </bean>

</plugins>

JMS 之 Active MQ的安全机制的更多相关文章

  1. JMS 之 Active MQ 消息存储

    一.消息的存储方式 ActiveMQ支持JMS规范中的持久化消息与非持久化消息 持久化消息通常用于不管是否消费者在线,它们都会保证消息会被消费者消费.当消息被确认消费后,会从存储中删除 非持久化消息通 ...

  2. JMS 之 Active MQ 启动嵌入式Broke

    一.如何启动active MQ 服务 (一).使用命令启动 /bin 目录下 ./activemq start 默认使用conf/activemq.xml 配置文件 b.[root@localhost ...

  3. JMS 之 Active MQ 的消息传输

    本文使用Active MQ5.6 一.消息协商器(Message Broker) broke:消息的交换器,就是对消息进行管理的容器.ActiveMQ 可以创建多个 Broker,客户端与Active ...

  4. JMS 之 Active MQ 的spring整合

    一.与spring整合实现ptp的同步接收消息 pom.xml: <!-- https://mvnrepository.com/artifact/org.springframework/spri ...

  5. Active MQ C#实现

    原文链接: Active MQ C#实现 内容概要 主要以源码的形式介绍如何用C#实现同Active MQ 的通讯.本文假设你已经正确安装JDK1.6.x,了解Active MQ并有一定的编程基础. ...

  6. 使用Active MQ在.net和java系统之间通信

    ActiveMQ 是Apache出品,最流行的,能力强劲的开源消息总线.ActiveMQ 是一个完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现 一.特性列表 ⒈ 多种语言和 ...

  7. Active MQ的初步探索

    参考链接: http://blog.csdn.net/jiuqiyuliang/article/details/46701559 JMS是jee规范,active MQ是该规范的实现 Active M ...

  8. Active MQ C++实现通讯记录

    Active MQ  C++实现通讯 背景知识: ActiveMQ是一个易于使用的消息中间件. 消息中间件 我们简单的介绍一下消息中间件,对它有一个基本认识就好,消息中间件(MOM:Message O ...

  9. 初探active mq

    mq(message queue),即消息队列,目前比较流行消息队列是active mq 和kafka.本文介绍如何简单的使用active mq. ActiveMQ官网下载地址:http://acti ...

随机推荐

  1. Java中如何查看一个类依赖的包

    Java中如何查看一个类依赖的包 如图, 我如何知道JSONArray是依赖的哪一个包呢,这里有两个json-lib包?   测试语句:   public static void main(Strin ...

  2. ubuntu下面搭建SolrCloud集群

    首先要先把ubuntu环境搭建好,配置好静态IP,我这边配置的是3台机子,solr搭建集群至少是2台. 192.168.0.15  主机 192.168.0.16  从机 192.168.0.17  ...

  3. Metasploit对安卓手机的攻击

    首先要kali进行内网穿透,可参考http://www.cnblogs.com/sch01ar/p/7562954.html 首先生成一个apk木马 命令:msfvenom -p android/me ...

  4. [OpenCV Qt教程] 在Qt图形界面中显示OpenCV图像的OpenGL Widget(第二部分)

    本文译自:http://www.robot-home.it/blog/en/software/tutorial-opencv-qt-opengl-widget-per-visualizzare-imm ...

  5. 解决 service iptables start 无法启动的问题

    解决方式: iptables -F  // 初始化iptables. service iptables save  // 保存 service iptables restart  // 重启

  6. 高效率terminal和sublime 相互启动

    在日常的工作中,我们经常使用到terminal和Sublime .今天给大家介绍下怎样高效率的实现terminal和sublime 相互启动 (这里说的是MAC环境,我用的是Sublime Text ...

  7. C#读取Excel技术概览

    参考文章 C#读取Excel的五种方式体会 1. OleDb 用这种方法读取Excel速度还是非常的快的,但这种方式读取数据的时候不太灵活.不过可以在 DataTable 中对数据进行一些删减.修改. ...

  8. 经验总结:WebBrowser自动点击弹出提示框alert、弹出对话框confirm、屏蔽弹出框、屏蔽弹出脚本错误的解决办法

    经验总结:WebBrowser自动点击弹出提示框alert.弹出对话框confirm.屏蔽弹出框.屏蔽弹出脚本错误的解决办法 网上有好多解决方法,可是不一定好使,本人经过多次试验,针对WebBrows ...

  9. java之api讲解

    1:数值运算 Java提供了java.lang.Math类支持数值运算 看文档 java.lang叫做核心语言包,里面包含的是Java中最基础的一些类,此包中的类,可以使用,不用import该包 举例 ...

  10. 使用ConfigFilter

    ConfigFilter的作用包括: 从配置文件中读取配置 从远程http文件中读取配置 为数据库密码提供加密功能 1 配置ConfigFilter 1.1 配置文件从本地文件系统中读取 <be ...