redis 是否有用户的概念 redis没有用户名吗

转载

fjfdh 2024-02-02 08:32:11

文章标签 redis 是否有用户的概念 redis 数据库 java Redis 文章分类 Redis 数据库

介绍
在Redis6之前的版本，我们只能使用requirepass参数给default用户配置登录密码，同一个redis集群的所有开发都共享default用户，难免会出现误操作把别人的key删掉或者数据泄露的情况，那之前我们也可以使用rename command的方式给一些危险函数重命名或禁用，但是这样也防止不了自己的key被其他人访问。

登陆Redis Server只需要输入密码（前提配置了密码 requirepass ）即可，不需要输入用户名，而且密码也是明文配置到配置文件中，安全性不高。并且应用连接也使用该密码，导致应用有所有权限处理数据，风险也极高。在Redis6.0有了ACL之后，终于解决了这些不安全的因素，可以按照不同的需求设置相关的用户和权限。

因此Redis6版本推出了ACL(Access Control List)访问控制权限的功能，基于此功能，我们可以设置多个用户，并且给每个用户单独设置命令权限和数据权限。为了保证向下兼容，Redis6保留了default用户和使用requirepass的方式给default用户设置密码，默认情况下default用户拥有Redis最大权限，我们使用redis-cli连接时如果没有指定用户名，用户也是默认default。

我们可以在配置文件中或者命令行中设置ACL，如果使用配置config文件的话需要重启服务，使用配置aclfile文件或者命令行授权的话无需重启Redis服务但需要及时将权限持久化到磁盘，否则下次重启的时候无法恢复该权限，本文来介绍下Redis 6.0 ACL相关的配置和使用，具体的说明可以查看官方文档：ACL | Redis

配置文件模式
配置ACL的方式有两种，一种是在config文件中直接配置，另一种是在外部aclfile中配置。配置的命令是一样的，但是两种方式只能选择其中一种。

ACL规则
ACL是使用DSL（Domain specific language）定义的，该DSL描述了用户能够执行的操作。该规则始终从上到下，从左到右应用，因为规则的顺序对于理解用户的实际权限很重要。ACL规则可以在redis.conf文件以及users.acl文件中配置DSL，也可以在命令行中通过ACL命令配置。
启用和禁用用户
on：启用用户：可以以该用户身份进行认证。
off：禁用用户：不再可以使用此用户进行身份验证，但是已经通过身份验证的连接仍然可以使用。
允许和禁止调用命令
+<command>：将命令添加到用户可以调用的命令列表中。
-<command>：将命令从用户可以调用的命令列表中移除。
+@<category>：允许用户调用 <category> 类别中的所有命令，有效类别为@admin，@set，@sortedset等，可通过调用ACL CAT命令查看完整列表。特殊类别@all表示所有命令，包括当前和未来版本中存在的所有命令。
-@<category>：禁止用户调用<category> 类别中的所有命令。
+<command>|subcommand：允许使用已禁用命令的特定子命令。
allcommands：+@all的别名。包括当前存在的命令以及将来通过模块加载的所有命令。
nocommands：-@all的别名，禁止调用所有命令。
允许或禁止访问某些Key
~<pattern>：添加可以在命令中提及的键模式。例如~*和* allkeys 允许所有键。
* resetkeys：使用当前模式覆盖所有允许的模式。如： ~foo:* ~bar:* resetkeys ~objects:* ，客户端只能访问匹配 object:* 模式的 KEY。
为用户配置有效密码
><password>：将此密码添加到用户的有效密码列表中。例如，>mypass将“mypass”添加到有效密码列表中。该命令会清除用户的nopass标记。每个用户可以有任意数量的有效密码。
<<password>：从有效密码列表中删除此密码。若该用户的有效密码列表中没有此密码则会返回错误信息。
#<hash>：将此SHA-256哈希值添加到用户的有效密码列表中。该哈希值将与为ACL用户输入的密码的哈希值进行比较。允许用户将哈希存储在users.acl文件中，而不是存储明文密码。仅接受SHA-256哈希值，因为密码哈希必须为64个字符且小写的十六进制字符。
!<hash>：从有效密码列表中删除该哈希值。当不知道哈希值对应的明文是什么时很有用。
nopass：移除该用户已设置的所有密码，并将该用户标记为nopass无密码状态：任何密码都可以登录。resetpass命令可以清除nopass这种状态。
resetpass：情况该用户的所有密码列表。而且移除nopass状态。resetpass之后用户没有关联的密码同时也无法使用无密码登录，因此resetpass之后必须添加密码或改为nopass状态才能正常登录。
reset：重置用户状态为初始状态。执行以下操作resetpass，resetkeys，off，-@all。

使用下面的命令查看help文档：

redis 是否有用户的概念 redis没有用户名吗_redis

ACL LIST

我们可以使用ACL LIST命令来查看当前活动的ACL，默认情况下，有一个“default”用户：

redis 是否有用户的概念 redis没有用户名吗_数据库_02

其中user为关键词，default为用户名，后面的内容为ACL规则描述，on表示活跃的，nopass表示无密码， ~* 表示所有key，+@all表示所有命令。所以上面的命令表示活跃用户default无密码且可以访问所有命令以及所有数据。

授权方式：

参数	说明
+	授权用户操作命令权限
-	回收用户操作命令权限
+@	添加一类命令
-@	回收一类命令
allcommands/+@all	允许所有命令执行
nocommands/-@all	不运行所有命令操作执行