AMQ的校验涉及到AMQ Broker和AMQ Console两个部分;
对于AMQ Broker需要添加连接校验机制。AMQ Console部署在嵌入式的Jetty上,因此可以使用BASIC认证。
一. 对AMQ Broker添加校验需要在broker中添加<plugins></plugins>,一下所有操作均需要设置在plugins中。
1. 进行用户组授权配置
<authorizationPlugin>
<map>
<authorizationMap>
<authorizationEntries>
<authorizationEntry queue=">" read="admins,users,guests" write="admins,users" admin="admins" />
<authorizationEntry topic=">" read="admins,users,guests" write="admins,users" admin="admins" />
<authorizationEntry topic="ActiveMQ.Advisory.>" read="guests,users" write="guests,users" admin="guests,users"/>
</authorizationEntries>
</authorizationMap>
</map>
</authorizationPlugin>
">"为通配符,代表任何消息,被赋予admin操作的用户组具有创建消息队列的权限。
2.1. 使用简单的用户设置策略
<simpleAuthenticationPlugin>
<users>
<authenticationUser username="system" password="manager" groups="users,admins"/>
<authenticationUser username="user" password="password" groups="users"/>
<authenticationUser username="guest" password="password" groups="guests"/>
</users>
</simpleAuthenticationPlugin>
2.2. 使用基于JAAS的认证策略
2.2.1). 配置使用JAAS策略,并定义配置模块为activemq-domain.
<jaasAuthenticationPlugin configuration="activemq-domain" />
2.2.2). 在conf目录中创建login.config文件,并设置用户组文件和用户文件
activemq-domain {
org.apache.activemq.jaas.PropertiesLoginModule required
debug=true
org.apache.activemq.jaas.properties.user="users.properties"
org.apache.activemq.jaas.properties.group="groups.properties";
};
2.2.3). 建立groups.properties配置用户组和用户
# 组名=用户名
admins=system
users=system,user
guests=guest
2.2.4). 建立users.properties配置用户和密码
# 用户名=密码
system=manager
user=password
guest=password
3. 设置broker连接密码
3.1). 加载证书配置文件
<bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
<property name="locations">
<value>file:///${activemq.base}/conf/credentials.properties</value>
</property>
</bean>
3.2). 设置证书credentials.properties用户密码
# 键=值
activemq.username=system
activemq.password=manager
3.3). 设置broker连接用户密码
<networkConnectors>
<networkConnector name="host" userName="${activemq.username}" password="${activemq.password}" uri="static://(tcp://localhost:61616)"/>
</networkConnectors>
二. 对AMQ Console添加BASIC认证
1. 可以将jetty的配置独立成单独的文件,然后在activemq.xml进行引用
<import resource="jetty.xml"/>
2.1. 在jetty.xml添加BASIC认证
<bean id="userRealm" class="org.mortbay.jetty.security.HashUserRealm">
<property name="name" value="BPMCSecurity"/> <!-- 认证名 -->
<property name="config" value="${activemq.base}/conf/jetty-realm.properties"/> <!-- 认证用户密码配置 -->
</bean>
<bean id="securityConstraint" class="org.mortbay.jetty.security.Constraint">
<property name="name" value="BASIC" /> <!-- 认证方式,采用BASIC认证 -->
<property name="roles">
<list>
<value>admins</value> <!-- 授权角色:admins -->
</list>
</property>
<property name="authenticate" value="true"/>
</bean>
<bean id="securityConstraintMapping" class="org.mortbay.jetty.security.ConstraintMapping">
<property name="constraint" ref="securityConstraint"/>
<property name="pathSpec" value="/*"/>
</bean>
<!-- 配置handler -->
<bean id="securityHandler" class="org.mortbay.jetty.security.SecurityHandler">
<property name="userRealm" ref="userRealm"/>
<property name="constraintMappings">
<list>
<ref bean="securityConstraintMapping" />
</list>
</property>
</bean>
2.2. 添加handler
在Server bean的handler属性中设置HandlerCollection,并添加handlers list中内容
<list>
<ref bean="securityHandler" />
</list>
2.3. 添加配置文件jetty-realm.properties
# 格式(用户名:密码,用户组)
system: manager,admins