5.3.2. 配置基于用户和角色的授权

流程

1. 打开 <broker_instance_dir>/etc/broker.xml 配置文件。

2. 在 <security- settings> 元素中添加单个 <security-setting > 元素。对于 match 键，指定一个地址。例如：

   <security-settings>
       <security-setting match="my.destination">
           <permission type="send" roles="producer"/>
       </security-setting>
   </security-settings>

   根据上述配置，producer 角色的成员具有地址 my.destination 的 发送 权限。

流程

1. 打开 <broker_instance_dir>/etc/broker.xml 配置文件。

2. 在 <security- settings> 元素中添加单个 <security-setting > 元素。对于 match 键，指定一个地址。例如：

   <security-settings>
       <security-setting match="my.destination">
           <permission type="consume" roles="consumer"/>
       </security-setting>
   </security-settings>

   根据上述配置，users 角色 的成员具有地址 my.destination 的消耗 权限。

流程

1. 打开 <broker_instance_dir>/etc/broker.xml 配置文件。

2. 在 <security- settings> 元素中添加单个 <security-setting > 元素。对于 match 键，若要配置 对所有 地址的访问，请指定数字符号(#)通配符。例如：

   <security-settings>
       <security-setting match="#">
           <permission type="createDurableQueue" roles="guest"/>
           <permission type="deleteDurableQueue" roles="guest"/>
           <permission type="createNonDurableQueue" roles="guest"/>
           <permission type="deleteNonDurableQueue" roles="guest"/>
           <permission type="createAddress" roles="guest"/>
           <permission type="deleteAddress" roles="guest"/>
           <permission type="send" roles="guest"/>
           <permission type="browse" roles="guest"/>
           <permission type="consume" roles="guest"/>
           <permission type="manage" roles="guest"/>
       </security-setting>
   </security-settings>

   根据上述配置，将所有队列上的 guest 角色成员授予所有权限。这在将匿名身份验证配置为为每个用户分配 guest 角色的开发场景中非常有用。

1. 打开 <broker_instance_dir>/etc/broker.xml 配置文件。

2. 在 <security- settings> 元素中添加单个 <security-setting > 元素。对于 match 键，请 包含数字符号(#)通配符字符，以将设置应用到匹配的地址集合。例如：

   <security-setting match="globalqueues.europe.#">
      <permission type="createDurableQueue" roles="admin"/>
      <permission type="deleteDurableQueue" roles="admin"/>
      <permission type="createNonDurableQueue" roles="admin, guest, europe-users"/>
      <permission type="deleteNonDurableQueue" roles="admin, guest, europe-users"/>
      <permission type="send" roles="admin, europe-users"/>
      <permission type="consume" roles="admin, europe-users"/>
   </security-setting>

   match=globalqueues.europe.#

   数字符号(#)通配符由代理解释为"任何词语序列"。词语用句点(.)分隔。在本例中，安全设置适用于以字符串 globalqueues.europe 开头的任何地址。

   permission type="createDurableQueue"

   只有具有 admin 角色的用户 才能创建或删除绑定到以字符串 globalqueues.europe 开头的地址的持久队列。

   permission type="createNonDurableQueue"

   任何具有 admin、guest 或 europe-users 角色的用户 都可以创建或删除绑定到以字符串 globalqueues.europe 开头的地址的临时队列。

   permission type="send"

   任何具有 admin 或 europe-users 角色的用户都可以发送消息到绑定至以字符串 globalqueues.europe 开头的地址的队列。

   permission type="consume"

   任何具有 admin 或 europe-users 角色的用户 都可以使用绑定到以字符串 globalqueues.europe 开头的地址的队列中的消息。

3. （可选）要将不同的安全设置应用到更严格的地址集合，请添加另一个 <security-setting> 元素。对于 match 键，请指定一个更具体的文本字符串。例如：

   <security-setting match="globalqueues.europe.orders.#">
      <permission type="send" roles="europe-users"/>
      <permission type="consume" roles="europe-users"/>
   </security-setting>

   在第二个 security-setting 元素中，全局queues.europe.orders.# 匹配比第一个 security-setting 元素中指定的 globalqueues.europe.# 匹配更为具体。对于匹配 globalqueues.europe.orders.# 的任何地址，权限 createDurableQueue,deleteDurableQueue,createNonDurableQueue,deleteNonDurableQueue 不 继承自 文件中的第一个 security-setting 元素。例如，对于地址 globalqueues.europe.orders.plastics，存在的唯一权限会为 europe-users 角色 发送 和使用。

   因此，由于一个 security-setting 块中指定的权限不会被其他人继承，您只需不指定这些权限即可有效地拒绝更具体的 security-setting 块中的权限。

流程

1. 打开 <broker_instance_dir>/etc/broker.xml 配置文件。

2. 对于给定队列，添加 用户 密钥。分配一个值。例如：

   <address name="ExampleQueue">
       <anycast>
          <queue name="ExampleQueue" user="admin"/>
       </anycast>
   </address>

   根据上述配置，将 admin 用户分配到队列 ExampleQueue。