jms - Apache Apollo MQ 中的动态目的地

Question

有没有办法使用 Apache Apollo MQ 授权目的地？

我想要做到这一点，以便 1）用户只能写入共享主题，但将读取限制为服务器/管理员。本主题是向服务器发送消息。2）用户可以从他们自己的私有主题中读取，但除了服务器/管理员之外没有人可以写入它。

例如：

Topic               User rights                     Server/Admin rights
/public             Write only                      Read only
/user/foo           ONLY the user foo may read      Write only
/user/bar           ONLY the user bar may read      Write only
/user/<username>    ONLY the <username> may read    Write only

现在是有趣的部分。这必须适用于动态主题。用户的名字事先不知道。

我使用自定义 BrokerFilter 与 Apache ActiveMQ 一起工作，但不确定如何使用 Apollo。

谢谢你的帮助。

Answer 1

经过很多头抓挠后，我想通了。

在 apollo.xml 中：

<broker xmlns="http://activemq.apache.org/schema/activemq/apollo" security_factory="com.me.MyAuthorizationPlugin">

在 com.me.MyAuthorizationPlugin 中：

package com.me

import org.fusesource.hawtdispatch.DispatchQueue.QueueType

import org.apache.activemq.apollo.broker.security._
import org.apache.activemq.apollo.broker.{ Queue, Broker, VirtualHost }
import java.lang.Boolean

class MyAuthorizationPlugin extends SecurityFactory {

    def install(broker: Broker) {
        DefaultSecurityFactory.install(broker)
    }

    def install(virtual_host: VirtualHost) {
        DefaultSecurityFactory.install(virtual_host)
        val default_authorizer = virtual_host.authorizer
        virtual_host.authorizer = new Authorizer() {
            def can(ctx: SecurityContext, action: String, resource: SecuredResource): Boolean = {

                println("Resource: " + resource.id + " User: " + ctx.user)
                resource.resource_kind match {
                    case SecuredResource.TopicKind =>
                        val id = resource.id
                        println("Topic Resource: " + id + " User: " + ctx.user)
                        var result : Boolean = id.startsWith("user." + ctx.user) || id.startsWith("MDN." + ctx.user + ".")
                        println("Result: " + result)
                        return result
                    case _ =>
                        return default_authorizer.can(ctx, action, resource)
                }
            }
        }
    }
}

以下 URL 看起来非常有用，实际上几乎是完美匹配：

• https://github.com/apache/activemq-apollo/blob/trunk/apollo-stomp/src/test/resources/apollo-stomp-custom-security.xml#L18

• https://github.com/apache/activemq-apollo/blob/trunk/apollo-stomp/src/test/scala/org/apache/activemq/apollo/stomp/test/UserOwnershipSecurityFactory.scala#L29

现在我只需要清理我讨厌的 scala 并将其放入 Git 中。

我正在考虑做两个测试：

1. 正是我需要的速度
2. 带有用户名/clientID 替换和 +/*/?/etc 的正则表达式模式匹配器此模式将从配置文件中提取。

如果它们几乎相同，我可能会通过联系提交者将其添加到 Apollo。