NanoMQ ACL订阅权限控制问题分析与修复

问题背景

在NanoMQ 0.20.8版本中，发现了一个关于访问控制列表(ACL)的重要问题：当配置文件中设置deny_action = ignore时，任何经过身份验证的用户都可以订阅任意主题，而ACL规则中的订阅限制实际上并未生效。

问题现象

在典型的MQTT安全配置场景中，管理员通常会：

1. 禁用匿名访问(allow_anonymous = false)
2. 设置默认拒绝策略(no_match = deny)
3. 配置详细的ACL规则来精确控制用户权限

然而在实际测试中发现，即使用户在ACL规则中被明确拒绝订阅权限({"permit": "deny", "action": "subscribe"})，该用户仍然能够成功订阅被禁止的主题，而系统仅记录了一条ACL拒绝日志，并未真正阻止订阅行为。

技术分析

通过深入分析NanoMQ的源代码，发现问题出在订阅处理逻辑(sub_handler.c)中。当ACL检查返回拒绝结果时，代码会根据deny_action配置决定后续行为：

1. 如果deny_action设置为disconnect，则会跳转到错误处理流程
2. 但如果设置为ignore(默认值)，代码会继续执行订阅操作，而不会中断当前流程

这种实现方式导致了ACL规则在订阅控制上的失效，与MQTT安全最佳实践相违背。正确的实现应该是无论deny_action如何设置，当ACL检查拒绝订阅时，都应该终止订阅操作。

修复方案

问题的修复方案非常直接：在ACL拒绝处理逻辑中，无论deny_action配置为何值，都应该执行流程跳转(goto next)，确保订阅请求被正确拦截。

这一修复确保了：

• ACL规则的权威性，拒绝意味着真正的拒绝
• 与MQTT安全规范保持一致
• 不会因为配置选项的不同而产生安全漏洞

安全建议

对于使用NanoMQ的生产环境，建议：

1. 及时升级到包含此修复的版本
2. 定期审查ACL规则的有效性
3. 在测试环境中验证权限控制的实际效果
4. 考虑使用deny_action = disconnect以获得更严格的安全控制

此问题的发现和修复展示了开源社区协作的价值，也提醒我们在实现安全功能时需要全面考虑各种配置场景下的行为一致性。