ActiveMQ授权

Question

如果我想在Apache ActiveMQ上实现JAAS授权，是否必须使用activemq.xml配置文件中的插件？

这种方式确实不好，因为如果我想更改授权，我必须更改activemq.xml文件并重新启动服务器以使其正常工作。

是否可以通过更改其他属性文件而不是activemq.xml文件来使用类似JAAS身份验证的方法？或者我可以定制我自己的授权插件吗？

谢谢。

Answer 1

无论何时设置了ActiveMQ安全性，我都发现最好使用普通的AuthorizationPlugin和通配符来表示所涵盖的目的地(这就是为什么在队列和主题中使用命名约定非常方便的原因)。这样做的目的是定义少数用户组，并授予他们访问这些目的地的权限。

从用户名分配组的角色由其中一个身份验证插件处理- JAAS对于将此信息外部化到ActiveMQ目录中的配置之外特别有用。

查看ActiveMQ安全指南从FuseSource (注册所需)获得更多信息。

更新2018-07-02 ActiveMQ安全指南，现在位于红帽上。

Answer 2

我发现了一些代码片段，这些代码片段对开始这个主题非常有帮助：

http://activemq.2283324.n4.nabble.com/Fully-programmatic-authorization-map-tp2344815.html

下面是我如何使用它(可能不是最好的方法)：

public class TestAuthorizationPlugin extends AuthorizationPlugin {

然后：

@Override
public Broker installPlugin(Broker broker) {
    List<DestinationMapEntry> entries = new ArrayList<DestinationMapEntry>(); 
    try {
        entries.add(makeTopicAuthorization("groupA.topic", "groupA", "groupA", "groupA"));
        entries.add(makeQueueAuthorization("groupA.queue", "groupA", "groupA", "groupA"));
        entries.add(makeQueueAuthorization("groupB.queue", "groupB", "groupB", "groupB"));
        entries.add(makeTopicAuthorization("ActiveMQ.Advisory.>", "all", "all", "all"));
        AuthorizationMap authMap = new DefaultAuthorizationMap(entries);
        return new AuthorizationBroker(broker, authMap);
    } catch (Exception e) {
        LOGGER.error(e);
    } 

    return new AuthorizationBroker(broker, null);
}

将其放在<activemq_home>/lib/中。

修改activemq.xml：

<plugins>
    <!--  use JAAS to authenticate using the login.config file on the classpath to configure JAAS -->
    <jaasAuthenticationPlugin configuration="activemq" />

    <!-- Authorization control -->
    <bean xmlns="http://www.springframework.org/schema/beans" class="com.blackstrype.activemq.security.TestAuthorizationPlugin"/>
</plugins>

另一个有用的链接，以获得有关的更多信息：

http://mariuszprzydatek.com/2014/01/04/token-based-authentication-plugin-for-activemq/