海山数据库(He3DB)技术分享:客户端认证

news2024/11/13 13:39:48

客户端认证核心参数

1.pg_hba.conf 参数文件定义了允许哪些主机以什么样的方式连接到哪些数据库。主要参数如表1.1所示:

表1.1 pg_hba.conf 参数
名称概述
type连接类型,如 host(通过 TCP/IP 连接)、local(Unix 域套接字)、hostssl(仅通过 SSL 连接的 TCP/IP 连接)、hostnossl(非 SSL 的 TCP/IP 连接)。
database目标数据库名称,可以是 all(所有数据库)、具体数据库名或多个数据库名。
user用户名,可以是 all(所有用户)、具体用户名或多个用户名。
auth_method认证方法(如 trust、password、md5、scram-sha-256、peer、cert)。
auth_option认证选项(如 SSL 客户端证书要求)。
address客户端 IP 地址或地址范围

核心结构体

  1. Port 结构体,位于 src/include/libpq/be.h,保存客户端连接的信息。
typedef struct Port
   {
    pgsocket sock;   /*网络文件描述符,表示连接的套接字。 */
   bool  noblock;  /*套接字是否处于非阻塞模式。 */
   ProtocolVersion proto;  /* 使用的协议版本,指示前端和后端的协议版本。 */
   SockAddr laddr;   /* 本地地址,即服务器端的地址。 */
   SockAddr raddr;   /* 远程地址,即客户端的地址。 */
   char    *remote_host; /* 远程主机的名称或 IP 地址的文本表示。 */
   char    *remote_hostname; /*远程主机的主机名(如果可用) */
   int   remote_hostname_resolv; /* 远程主机名解析状态,可能包含解析的结果或状态码。*/
   int   remote_hostname_errcode; /* 远程主机名解析错误码,指示解析失败的原因。*/
   char    *remote_port; /* 远程端口的文本表示。 */
   CAC_state canAcceptConnections; /* 表示后端是否能接受连接的状态。 */
   char    *database_name;  /*数据库名称,客户端请求连接的数据库。*/
   char    *user_name;   /*用户名,客户端用来连接数据库的用户。*/
   char    *cmdline_options; /*命令行选项,启动连接时的额外参数。*/
   List    *guc_options; /*选项列表,用于配置的全局设置。*/
   char    *application_name; /*应用程序名称,客户端提供的应用名称。*/
   HbaLine    *hba; /*配置行,用于验证客户端的连接。*/
   const char *authn_id; /*身份验证标识符,用于跟踪身份验证状态。*/
   int   default_keepalives_idle;  /*默认的 TCP 保活空闲时间。*/
   int   default_keepalives_interval;  /*默认的 TCP 保活间隔时间。*/
   int   default_keepalives_count; /*默认的 TCP 保活重试次数。*/
   int   default_tcp_user_timeout; /*默认的 TCP 用户超时时间。*/
   int   keepalives_idle; /*当前设置的 TCP 保活空闲时间。*/
   int   keepalives_interval; /*当前设置的 TCP 保活间隔时间。*/
   int   keepalives_count; /*当前设置的 TCP 保活重试次数。*/
   int   tcp_user_timeout; /*当前设置的 TCP 用户超时时间。*/
   #if defined(ENABLE_GSS) || defined(ENABLE_SSPI) 
   pg_gssinfo *gss;
   #else
   void    *gss;
   #endif
   bool  ssl_in_use; /*表示是否使用了 SSL(安全套接字层)加密。*/
   char    *peer_cn; /*对等方的证书主题名(Common Name)。*/
   char    *peer_dn; /*对等方的证书主体名(Distinguished Name)。*/
   bool  peer_cert_valid; /*对等方证书是否有效。*/
   #ifdef USE_OPENSSL 
    SSL     *ssl;
    X509    *peer;
   #endif
   } Port;

  1. HbaLine 结构体用于描述 PostgreSQL 的主机基于认证(HBA)配置中的一行。HBA 配置用于定义客户端如何连接到数据库以及如何进行身份验证。
typedef struct HbaLine
{
	int			linenumber; /*配置文件中该行的行号。*/
	char	   *rawline; /*原始的配置行文本,以字符串形式保存。*/
	ConnType	conntype; /*连接类型,例如本地连接、TCP/IP 连接等。*/
	List	   *databases; /*允许连接的数据库列表。如果为空,表示允许连接到所有数据库。*/
	List	   *roles; /* 允许连接的角色(用户)列表。如果为空,表示允许所有角色连接。*/
	struct sockaddr_storage addr; /*客户端 IP 地址,用于允许连接的来源地址。*/
	int			addrlen;		/*字段的有效长度,如果没有有效地址,则为零。 */
	struct sockaddr_storage mask; /*网络掩码,用于地址匹配。*/
	int			masklen;		/*字段的有效长度,如果没有有效掩码,则为零。 */
	IPCompareMethod ip_cmp_method;  /*IP 地址比较方法,指示如何处理地址匹配(例如精确匹配或子网匹配)。*/
	char	   *hostname; /*允许连接的主机名。*/
	UserAuth	auth_method;  /*认证方法,例如密码、Kerberos、LDAP 等。*/
	char	   *usermap; /*用户映射规则,用于将数据库用户映射到系统用户。*/
	char	   *pamservice; /*服务名称,如果使用 PAM 进行身份验证。*/
	bool		pam_use_hostname; /*如果为 true,则 PAM 身份验证使用主机名进行匹配。*/
	bool		ldaptls; /*如果为 true,则启用 LDAP 传输层安全(TLS)。*/
	char	   *ldapscheme; /*连接的协议方案(例如 ldap、ldaps)。*/
	char	   *ldapserver; /*LDAP 服务器的地址。*/
	int			ldapport; /*LDAP 服务器的端口。*/
	char	   *ldapbinddn; /*LDAP 绑定 DN(Distinguished Name),用于与 LDAP 服务器进行绑定的凭据。*/
	char	   *ldapbindpasswd; /*LDAP 绑定密码,用于绑定的凭据。*/
	char	   *ldapsearchattribute; /*LDAP 搜索属性,用于匹配用户。*/
	char	   *ldapsearchfilter; /*LDAP 搜索过滤器,用于过滤用户。*/
	char	   *ldapbasedn; /*LDAP 基础 DN,用于搜索的起始点。*/
	int			ldapscope; /*LDAP 搜索范围,例如 base、onelevel 或 sub。*/
	char	   *ldapprefix; /*LDAP 用户名前缀,用于拼接 LDAP 绑定 DN。*/
	char	   *ldapsuffix; /*LDAP 用户名后缀,用于拼接 LDAP 绑定 DN。*/
	ClientCertMode clientcert; /*客户端证书模式,定义客户端证书的验证方式。*/
	ClientCertName clientcertname; /*客户端证书名称,用于匹配客户端证书。*/
	char	   *krb_realm; /*Kerberos 领域名称,用于 Kerberos 认证。*/
	bool		include_realm; /*如果为 true,则包括领域名称进行匹配。*/
	bool		compat_realm; /*如果为 true,则启用领域名称兼容模式。*/
	bool		upn_username; /*如果为 true,则支持 UPN(User Principal Name)用户名格式。*/
	List	   *radiusservers; /*RADIUS 服务器列表,用于 RADIUS 认证。*/
	char	   *radiusservers_s; /*RADIUS 服务器的文本表示。*/
	List	   *radiussecrets; /*RADIUS 密码列表,用于与 RADIUS 服务器通信的密码。*/
	char	   *radiussecrets_s; /*RADIUS 密码的文本表示。*/
	List	   *radiusidentifiers; /*RADIUS 标识符列表,用于识别 RADIUS 服务器。*/
	char	   *radiusidentifiers_s; /*RADIUS 标识符的文本表示。*/
	List	   *radiusports; /*端口列表,用于 RADIUS 服务器的端口配置。*/
	char	   *radiusports_s; /*RADIUS 端口的文本表示。*/
} HbaLine;

客户端认证核心函数栈

  1. PostmasterMain:实例的入口函数,负责初始化并启动数据库服务器。主要步骤包含:
    (1)初始化共享内存和信号处理。
    (2)解析命令行参数和配置文件。
    (3)创建各种子进程(如后台写进程、检查点进程等)。
    (4)进入主循环(ServerLoop)。
  2. ServerLoop:处理来自客户端的连接请求并创建相应的后端进程。主要步骤包含:
    (1)监听新连接请求。
    (2)在接收到新连接时,创建后端进程处理该连接。
  3. BackendStartup启动新的后端进程以处理客户端连接。主要步骤包含:
    (1)初始化后端进程环境。
    (2)进行用户身份验证(调用 ClientAuthentication)。
    (3)初始化会话和用户 ID(调用 Initpostgre)。
  4. Initpostgre:初始化后端进程的基本环境,包括设置用户和数据库等。主要步骤包含:
    (1)初始化内存上下文。
    (2)设置会话用户和数据库。
    (3)加载系统配置。
  5. ClientAuthentication:处理客户端的认证请求。
    (1)读取 pg_hba.conf 文件,加载认证规则(调用 load_hba)。
    (2)选择适当的认证方法并进行认证(调用 PerformAuthentication)。
  6. CheckPasswordAuth:处理 MD5 密码认证。
    (1)验证客户端提供的密码。
    (2)返回认证结果。

核心函数栈如下:

PostmasterMain
  +--> ServerLoop
            +--> BackendStartup
                       +--> Initpostgres
                       |     +--> InitializeSessionUserId
                       +--> ClientAuthentication
                                    +--> load_hba
                                    +--> CheckPasswordAuth
                                    +--> CheckSCRAMAuth

客户端认证核心参数代码框架

在这里插入图片描述

代码框架

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2038189.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

高质量数据集的“高质量”包含哪些要素

近日,全国两会召开,关于人工智能领域的建议备受备受瞩目,除了关于通用大模型、人工智能、AIGC等议题,优质中文语料的缺失也是很多媒体关注的焦点。 所谓的语料就是我们俗称的“AI训练数据集”,AI训练数据集是现代数据…

Unity WebGL平台Hybrid Generate All报错undefined symbol sendfile

详细报错信息如下: Library\Bee\artifacts\WebGL\build\debug_WebGL_wasm\build.js: undefined symbol: sendfile (referenced by top-level compiled C/C code) UnityEditor.BuildPipeline:BuildPlayer (UnityEditor.BuildPlayerOptions) HybridCLR.Editor.Comman…

光速穿梭JavaScript特效代码

光速穿梭JavaScript特效代码https://www.bootstrapmb.com/item/15085 创建一个看起来像“光速穿梭”的JavaScript特效通常涉及到HTML、CSS和JavaScript的结合。下面我将提供一个简单的示例,展示如何使用这些技术来创建一个动画效果,模拟光速穿梭的感觉。…

场景感知如何做到成为智能时代下的生活新维度

在日新月异的智能科技浪潮中,场景感知正逐步成为连接物理世界与数字世界的桥梁,深刻改变着我们的生活方式与交互体验。场景感知,简而言之,是指智能系统通过多种传感器和数据分析技术,实时理解并适应当前环境及用户状态…

LoadRunner集合点知识介绍

集合含义 顾名思义,集合,集中 ,把大家聚一起一起行动,也叫真正的并发,类似跑步比赛,裁判发出指令,大家一起跑,比较整齐规范,如果LR不设置集合,则稍微起跑的不…

地表最强AI程序员Genie:自主思考与编码的未来

在人工智能领域,尤其是在编程和软件开发方面,一个全新的里程碑已经达成。Cosine公司开发的AI程序员Genie以其卓越的性能和独特的自主思考能力,被誉为全球最强的AI程序员。在SWE-Bench测试平台上,Genie以30.08%的评分遥遥领先&…

【排序汇总】这里记录一切与排序相关的内容~(更新ing)

目录 经典排序算法快速排序核心思想cpp代码 具体排序相关题目荷兰旗问题-颜色分类 (leetcode75)思路cpp代码 数组中的第K个最大元素 (leetcode215)思路:快速选择cpp代码 经典排序算法 快速排序 经典面试手撕题,刚好明天又要面试百度了,先复…

ContentProvider:在Android中实现进程间数据共享

目录 一,ContentProvider 二,Uri和UriMatcher工具类 1,Uri 2,UriMatcher 三,自定义ContentProvider 1,准备数据源 2,创建ContentProvider子类 3,在Manifest文件中注册ContentP…

100个智能体实战技巧 | 如何让Bot一眼记住你

今天介绍一个智能体实用技巧,让Bot可以一眼认出你并和你主动打招呼。 要实现这个功能,需要用到智能体里的变量 操作步骤 点号开始编辑变量,扣子默认已经有5个变量,不过这些我们暂时用不上这些 点” 新增“,创建一个新…

基于WAMP环境的简单用户登录系统实现(v3版)(持续迭代)

目录 版本说明 实现环境: 流程逻辑框图: 数据库连接 登录页面:login.html 登录处理实现:doLogin.php 用户欢迎页面:welcome.php 密码修改页面:change_password.html 修改处理:doChangePa…

【Python学习-UI界面】PyQt5 小部件1-Label

QLabel 对象可用作显示不可编辑的文本、图像或动态GIF影片的占位符。 它还可以用作其他小部件的助记键。 标签可以显示普通文本、超链接或富文本。 1、普通文本 直接双击输入即可 2、添加超链接 选中对应Label,右键选择多信息文本,添加链接&#xff0c…

全网最详细haproxy配置

Haproxy是法国人Willy Tarreau开发的一款高性能的TCP和HTTP负载均衡器,具有广泛的功能和特性,使其在负载均衡和反向代理领域备受推崇。以下是对Haproxy的详细介绍: 一、基本概述 定义:Haproxy是一个开源的高性能的反向代理或者说…

15个提升学术写作的 ChatGPT 高效技巧

不束手无策地面对空白页面这里有 15 个充满灵感的 ChatGPT 提示,帮助你找到研究灵感、建有力论据、撰写条理清晰的文章,突破创作的障碍,提高学术写作的效率。 学术写作充满挑战。要创作出优秀的文章,必须探索新思维,并…

Python OpenCV 影像处理:边缘检测

►前言 上篇介绍使用OpenCV Python findContours() 函数用于在二值化影像中寻找连通的白色区域,并返回一系列点的集合来表示找到的轮廓。本篇将介绍基于计算影像的梯度,通过在影像中找到梯度值的变化来识别边缘,边缘检测通常用于预处理步骤&…

XXL-JOB分布式定时任务框架快速入门

文章目录 前言定时任务分布式任务调度 1、XXL-JOB介绍1.1 XXL-JOB概述1.2 XXL-JOB特性1.3 整体架构 2、XXL-JOB任务中心环境搭建2.1 XXL-JOB源码下载2.2 IDEA导入xxljob工程2.3 初始化数据库2.4 Docker安装任务管理中心 3、XXL-JOB任务注册测试3.1 引入xxl-job核心依赖3.2 配置…

rust 编译时报错:type annotations needed for Box

如下图所示: 解决方法: 升级time的版本: cargo update -p time

【Python基础】Python入门基础教程(非常详细){附带源码}

引言 Python 是一种广泛使用的高级编程语言,因其简洁的语法和强大的功能库而受到开发者的喜爱。本教程将带你从零开始,逐步掌握 Python 的基础知识,并通过附带的源码和表格来加深理解。 点击免费领取《CSDN大礼包》:Python入门到…

c语言基础知识详解,c语言入门必看

在线书籍:54笨鸟 前言 C 语言是一门抽象的、面向过程的语言,C 语言广泛应用于底层开发,C 语言在计算机体系中占据着不可替代的作用,可以说 C 语言是编程的基础,也就是说,不管你学习任何语言,都…

最详细!教你学习haproxy七层代理

一、工作原理 (1)包括 监听端口:HAProxy 会在指定的端口上监听客户端的请求。 例如,它可以监听常见的 HTTP 和 HTTPS 端口,等待客户端连接。请求接收:当客户端发起请求时,HAProxy 接收到请求。…

Gin框架接入pyroscope完美替代pprof实现检测内存泄露

传统检测内存泄露可以看一下我这篇文章Gin框架接入Prometheus,grafana辅助pprof检测内存泄露-CSDN博客 pyroscope被Grafana收购,GPT来总结一下pyroscope的强大之处🐶 pyroscope github地址 pyroscope与grafana的安装 docker compose安装,这里我们其实…