MQTT 连接由客户端向服务器端发起,当客户端与服务器建立网络连接后, 需要先发送一个 CONNECT 数据包给服务器。 服务器收到 CONNECT 包后会回复一个 CONNACK 给客户端, 客户端收到 CONNACK 包后表示 MQTT 连接建立成功。 如果客户端在超时时间内未收到服务器的 CONNACK 数据包, 就会主动关闭连接。
大多数场景下, MQTT 通过 TCP/IP 协议进行网络传输, 但是 MQTT 同时也支持通过 WebSocket 或者 UDP 进行网络传输。
连接地址
MQTT 的连接地址通常包含 : 服务器 IP 或者域名、 服务器端口、 连接协议。
基于 TCP 的 MQTT 连接
mqtt 是普通的 TCP 连接, 端口一般为 1883。
mqtts 是基于 TLS/SSL 的安全连接, 端口一般为 8883。
比如 mqtt://broker.emqx.io:1883 是一个基于普通 TCP 的 MQTT 连接地址。
基于 WebSocket 的连接
ws 是普通的 WebSocket 连接, 端口一般为 8083。
wss 是基于 WebSocket 的安全连接, 端口一般为 8084。
客户端 ID(Client ID)
MQTT 服务器使用 Client ID 识别客户端, 连接到服务器的每个客户端都必须要有唯一的 Client ID。 Client ID 的长度通常为 1 至 23 个字节的 UTF-8 字符串。
如果客户端使用一个重复的 Client ID 连接至服务器, 将会把已使用该 Client ID 连接成功的客户端踢下线。
用户名与密码(Username & Password)
MQTT 协议可以通过用户名和密码来进行相关的认证和授权, 但是如果此信息未加密, 则用户名和密码将以明文方式传输。 如果设置了用户名与密码认证, 那么最好要使用 mqtts 或 wss 协议。
大多数 MQTT 服务器默认为匿名认证, 匿名认证时用户名与密码设置为空字符串即可。
连接超时(Connect Timeout)
连接超时时长, 收到服务器连接确认前的等待时间, 等待时间内未收到连接确认则为连接失败。
保活周期(Keep Alive)
保活周期, 是一个以秒为单位的时间间隔。 客户端在无报文发送时, 将按 Keep Alive 设定的值定时向服务端发送心跳报文, 确保连接不被服务端断开。
在连接建立成功后, 如果服务器没有在 Keep Alive 的 1.5 倍时间内收到来自客户端的任何包, 则会认为和客户端之间的连接出现了问题, 此时服务器便会断开和客户端的连接。
清除会话(Clean Session)
为false 时表示创建一个持久会话, 在客户端断开连接时, 会话仍然保持并保存离线消息, 直到会话超时注销。 为true时表示创建一个新的临时会话, 在客户端断开时, 会话自动销毁。
持久会话避免了客户端掉线重连后消息的丢失, 并且免去了客户端连接后重复的订阅开销。 这一功能在带宽小, 网络不稳定的物联网场景中非常实用。
注意: 持久会话恢复的前提是客户端使用固定的 Client ID 再次连接, 如果 Client ID 是动态的,那么连接成功后将会创建一个新的持久会话。
服务器为持久会话保存的消息数量取决于服务器的配置, 比如 EMQ 提供的免费的公共 MQTT 服务器设
置的离线消息保存时间为 5 分钟, 最大消息数为 1000 条, 且不保存 QoS 0 消息。
遗嘱消息(Last Will)
遗嘱消息是 MQTT 为那些可能出现意外断线的设备提供的将遗嘱优雅地发送给其他客户端的能力。设置了遗嘱消息消息的 MQTT 客户端异常下线时, MQTT 服务器会发布该客户端设置的遗嘱消息。
意外断线包括: 因网络故障, 连接被服务端关闭; 设备意外掉电; 设备尝试进行不被允许的操作而被服务端关闭连接等。
遗嘱消息可以看作是一个简化版的 MQTT 消息, 它也包含 Topic、 Payload、 QoS、 Retain 等信息。
- 当设备意外断线时, 遗嘱消息将被发送至遗嘱 Topic;
- 遗嘱 Payload 是待发送的消息内容;
- 遗嘱 QoS 与普通 MQTT 消息的 QoS 一致
- 遗嘱 Retain 为 true 时表明遗嘱消息是保留消息。 MQTT 服务器会为每个主题存储最新一条保留消息, 以方便消息发布后才上线的客户端在订阅主题时仍可以接收到该消息。
协议版本
使用较多的 MQTT 协议版本有 MQTT v3.1、 MQTT v3.1.1 及 MQTT v5.0。 目前, MQTT 5.0 已成为绝大多数物联网企业的首选协议, 我们建议初次接触 MQTT 的开发者直接使用该版本。
MQTT 5.0 新增连接参数
Clean Start & Session Expiry Interval
MQTT 5.0 中将 Clean Session 拆分成了 Clean Start 与 Session Expiry Interval。
Clean Start用于指定连接时是创建一个全新的会话还是尝试复用一个已存在的会话。 为 true 时表示必须
丢弃任何已存在的会话, 并创建一个全新的会话; 为 false 时表示必须使用与 Client ID 关联的会话来恢复
与客户端的通信(除非会话不存在) 。
Session Expiry Interval 用于指定网络连接断开后会话的过期时间。 设置为 0 或未设置, 表示断开连接时
会话即到期; 设置为大于 0 的数值, 则表示会话在网络连接关闭后会保持多少秒; 设置为 0xFFFFFFFF 表
示会话永远不会过期。
详见:
Clean Start 和 Session Expiry Interval
连接属性(Connect Properties)
MQTT 5.0 还新引入了连接属性的概念, 进一步增强了协议的可扩展性
详见:
MQTT5.0连接属性
如何建立一个安全的 MQTT 连接
虽然 MQTT 协议提供了用户名、 密码、 Client ID 等认证机制, 但是这对于物联网安全来说还远远不够。基于传统的 TCP 通信使用明文传输, 信息的安全性很难得到保证, 数据也会存在被窃听、 篡改、 伪造、冒充的风险。
SSL/TLS 的出现很好的解决了通信中的风险问题, 其以非对称加密技术为主干, 混合了不同模式的加密方式, 既保证了通信中消息都以密文传输, 避免了被窃听的风险, 同时也通过签名防止了消息被篡改。
不同 MQTT 服务器启用 SSL/TLS 的步骤都各有不同, EMQX 内置了对 TLS/SSL 的支持, 包括支持单/双向认证、 X.509 证书、 负载均衡 SSL 等多种安全认证。
单向认证是一种仅通过验证服务器证书来建立安全通信的方式, 它能保证通信是加密的, 但是不能验证客户端的真伪, 通常需要与用户名、 密码、 Client ID 等认证机制结合。
双向认证是指在进行通信认证时要求服务端和客户端都提供证书, 双方都需要进行身份认证, 以确保通信
中涉及的双方都是受信任的。 双方彼此共享其公共证书, 然后基于该证书执行验证、 确认。 一些对安全性
要求较高的应用场景, 就需要开启双向 SSL/TLS 认证。
SSL/TLS 协议
SSL/TLS 介绍
