本文档介绍在 MQTT Dashboard 中创建 JWT 认证的操作步骤。
注意事项
相关注意事项,请参见注意事项。
操作步骤
在 Dashboard 导航栏选择访问控制 > 客户端认证,然后单击页面右上角的创建。
选择 JWT 认证方式,然后单击下一步。
无需选择数据源,请继续单击下一步。
配置 JWT 认证参数。
支持 JWT 和 JWKS 两种配置方式。如果您配置了 JWKS 端点,MQTT 将通过从 JWKS 端点查询到的公钥对 JWT 签名进行验证。JWT 配置参数
参数
说明
JWT 来自于
指定客户端连接请求中 JWT 的位置,支持设置为 password 或 username。
加密方式
指定 JWT 的加密方式,支持设置为 hmac-based 或 public-key。
- 选择 hmac-based 加密方式,JWT 使用对称密钥生成签名和校验签名。此时还需配置以下参数:
- Secret:用于校验签名的密钥,与生成签名时使用的密钥相同。
- Secret 使用 Base64 编码:配置 MQTT 在使用 Secret 校验签名时是否需要先对其进行 Base64 解密,默认为不需要。
- 选择 public-key 加密方式,JWT 使用私钥生成签名,同时需要使用公钥校验签名。此时还需配置 Public Key 参数,指定用于校验签名的 PEM 格式的公钥。
Payload
添加自定义的 Claims 检查。
您需要在 **** Claim **** 和 Expected Value 分别添加键和对应的值,支持使用${clientid}和${username}占位符。其中键用于查找 JWT 中对应的 Claim,值则用于与 Claim 的实际值进行比较。- 选择 hmac-based 加密方式,JWT 使用对称密钥生成签名和校验签名。此时还需配置以下参数:
JWKS 配置参数
参数
说明
JWT 来自于
指定客户端连接请求中 JWT 的位置,支持设置为 password 或 username。
JWKS Endpoint
指定 MQTT 查询 JWKS 的服务器端点地址,该端点需要支持 GET 请求,并且返回符合规范的 JWKS。
JWKS 刷新间隔
指定 JWKS 的刷新间隔,也就是 MQTT 查询 JWKS 的间隔。默认值为300 秒。
启用 TLS
是否启用 TLS 校验,以及是否校验服务器证书。如需校验,请分别配置 Cert 和 Key。
Payload
添加自定义的 Claims 检查。
您需要在 **** Claim **** 和 Expected Value 分别添加键和对应的值,支持使用${clientid}和${username}占位符。其中键用于查找 JWT 中对应的 Claim,值则用于与 Claim 的实际值进行比较。
单击创建。