如果我想在Apache ActiveMQ上实现JAAS授权,我是否必须使用activemq.xml配置文件中的插件?
这种方式真的不好,因为如果我想更改授权,我必须更改activemq.xml文件并重新启动服务器才能工作。
通过更改其他属性文件而不是activemq.xml文件,我有什么方法可以像JAAS身份验证一样使用?或者我可以自定义自己的授权插件吗?
感谢。
答案 0 :(得分:3)
每当我设置ActiveMQ安全性时,我发现最好使用AuthorizationPlugin和wildcards来表示所覆盖的目的地(这就是为什么在队列中使用命名约定非常方便的原因和主题)。我们的想法是您定义少数用户组并授予他们访问这些目的地的权限。
从用户名分配组的角色由其中一个身份验证插件处理 - JAAS插件对于在LDAP目录中的ActiveMQ配置外部化此信息特别有用。
查看FuseSource中的ActiveMQ Security Guide(需要注册)以获取更多信息。
更新2018-07-02 ActiveMQ Security Guide,现在位于redhat。
答案 1 :(得分:3)
我发现了一些代码片段,最终在开始这个主题方面非常有帮助:
http://activemq.2283324.n4.nabble.com/Fully-programmatic-authorization-map-tp2344815.html
以下是我最终使用它的方式(可能不是最佳方式):
public class TestAuthorizationPlugin extends AuthorizationPlugin {
然后:
@Override
public Broker installPlugin(Broker broker) {
List<DestinationMapEntry> entries = new ArrayList<DestinationMapEntry>();
try {
entries.add(makeTopicAuthorization("groupA.topic", "groupA", "groupA", "groupA"));
entries.add(makeQueueAuthorization("groupA.queue", "groupA", "groupA", "groupA"));
entries.add(makeQueueAuthorization("groupB.queue", "groupB", "groupB", "groupB"));
entries.add(makeTopicAuthorization("ActiveMQ.Advisory.>", "all", "all", "all"));
AuthorizationMap authMap = new DefaultAuthorizationMap(entries);
return new AuthorizationBroker(broker, authMap);
} catch (Exception e) {
LOGGER.error(e);
}
return new AuthorizationBroker(broker, null);
}
将此jar并将其粘贴在<activemq_home>/lib/。
修改activemq.xml:
<plugins>
<!-- use JAAS to authenticate using the login.config file on the classpath to configure JAAS -->
<jaasAuthenticationPlugin configuration="activemq" />
<!-- Authorization control -->
<bean xmlns="http://www.springframework.org/schema/beans" class="com.blackstrype.activemq.security.TestAuthorizationPlugin"/>
</plugins>
关于autho插件开发的更多信息的另一个有用链接:
http://mariuszprzydatek.com/2014/01/04/token-based-authentication-plugin-for-activemq/