【Redis源码】Redis 6 ACL源码详解

最新推荐文章于 2024-08-06 13:20:28 发布
最新推荐文章于 2024-08-06 13:20:28 发布
阅读量468 收藏
点赞数
分类专栏: Redis 文章标签: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LZH984294471/article/details/110024928
版权
本文深入探讨了Redis6的ACL实现原理,包括启动初始化时如何创建默认用户,以及通过配置文件加载ACL用户信息的过程。ACLCheckCommandPerm函数用于检查用户对命令的权限,而ACLGetUserCommandBit则计算用户在命令表中的权限位。文章还提及了ACL配置的两种方式,即直接在redis.conf中的user配置项和通过aclfile指定的文件。
摘要由CSDN通过智能技术生成

简介

本文主要是讲解Redis 6的ACL的实现原理。基本使用详见:Redis 6.0新特性——ACLs,以及Redis启动过程分析

启动初始化

初始化默认用户

ACL子模块在Redis启动过程中初始化,下面代码主要是初始化ACL的结构:

/* 
 * 初始化ACL子系统
 * */
void ACLInit(void) {
    Users = raxNew(); // 初始化用户信息
    UsersToLoad = listCreate();
    ACLLog = listCreate();
    ACLInitDefaultUser();
    server.requirepass = NULL; /* Only used for backward compatibility. */
}

ACLInitDefaultUser函数主要是初始化默认用户,在Redis 6当中默认用户的权限就相当于操作系统的管理员一样,拥有很大的权限,要限制远程使用默认用户连接。

/* 初始化默认用户 */
void ACLInitDefaultUser(void) {
    DefaultUser = ACLCreateUser("default",7);
    ACLSetUser(DefaultUser,"+@all",-1); // 默认用户赋予所有命令的权限
    ACLSetUser(DefaultUser,"~*",-1);// 可以操作任何key
    ACLSetUser(DefaultUser,"on",-1);// 默认开启
    ACLSetUser(DefaultUser,"nopass",-1); // 默认不需要密码
}

加载ACL用户信息

ACL数据结构初始化完成之后,通过函数 ACLLoadUsersAtStartup加载Redis配置里面的ACL用户信息。Redis ACL配置信息主要有两种方式:

  • 在redis.conf文件中通过user 配置项配置的ACL信息。比如:user worker +@list +@connection ~jobs:* on >ffa9203c493aa99
  • redis.conf中配置aclfile所配置的文件中。格式如下图所示:

图片

通过user方式

通过加载redis.conf配置文件中读取user配置项加载ACL信息。

int ACLLoadConfiguredUsers(void) {
    listIter li;
    listNode *ln;
    listRewind(UsersToLoad,&li);
    while ((ln = listNext(&li)) != NULL) {
        sds *aclrules = listNodeValue(ln);
        sds username = aclrules[0];

        // 检查ACL用户名当中是否存在空格
        if (ACLStringHasSpaces(aclrules[0],sdslen(aclrules[0]))) {
            serverLog(LL_WARNING,"Spaces not allowed in ACL usernames");
            return C_ERR;
        }
        // 创建ACL用户
        user *u = ACLCreateUser(username,sdslen(username));
        if (!u) {
            u = ACLGetUserByName(username,sdslen(username));
            serverAssert(u != NULL);
            ACLSetUser(u,"reset",-1);
        }

        /* Load every rule defined for this user. */
        for (int j = 1; aclrules[j]; j++) {
            // 添加当前用户的所有属性
            if (ACLSetUser(u,aclrules[j],sdslen(aclrules[j])) != C_OK) {
                char *errmsg = ACLSetUserStringError();
                serverLog(LL_WARNING,"Error loading ACL rule '%s' for "
                                     "the user named '%s': %s",
                          aclrules[j],aclrules[0],errmsg);
                return C_ERR;
            }
        }

        /* Having a disabled user in the configuration may be an error,
         * warn about it without returning any error to the caller.
         * 用户没有开启的时候打印到日志里面
         * */
        if (u->flags & USER_FLAG_DISABLED) {
            serverLog(LL_NOTICE, "The user '%s' is disabled (there is no "
                                 "'on' modifier in the user description). Make "
                                 "sure this is not a configuration error.",
                      aclrules[0]);
        }
    }
    return C_OK;
}
通过文件方式

ACLLoadFromFile函数就是从redis.conf配置的 aclfile所在的文件当中读取ACL配置信息。

ACL 控制

ACL控制主要是在从命令表中获取命令之后判断当前登录的用户是否对当前执行的命令是否有权限。判断的函数为:

int ACLCheckCommandPerm(client *c, int *keyidxptr)

具体判断是否存在权限的函数为ACLGetUserCommandBit,主要实现如代码,其中id表示当前命令所对应的id。

int ACLGetUserCommandBit(user *u, unsigned long id) {
    uint64_t word, bit;
    // 计算命令在allowed_commands当中对应的bit位
    if (ACLGetCommandBitCoordinates(id,&word,&bit) == C_ERR) return 0;
    return (u->allowed_commands[word] & bit) != 0;
}

标 题:《【Redis源码】Redis 6 ACL源码详解
作 者:zeekling
提 示:转载请注明文章转载自个人博客:小令童鞋

zeekling
关注
专栏目录
基于acl库封装c\c++ 的redis-client客户端源码
03-26
基于acl库封装的redis client vs2010工程; 运行时解压到: redis-acl\lib_acl_cpp\samples\redis路径下,把lib_acl_vc2010d.lib、lib_...依赖的库 需要下载开源 源码编出来 : svn://svn.code.sf.net/p/acl/code/trunk
一文搞懂redis的用户权限管理(ACL)功能
cj_eryue的博客
06-26 8386
Redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作。如果想禁用某些不安全的命令,比如flushdb,flushall,只能通过rename-command的方式来避免。redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令,可访问的key等。
Redis 访问控制列表(ACL)
ChaITSimpleLove的博客
11-18 1104
Redis 是一种高性能的缓存数据库,每秒可处理百万级的请求,如果没有很好的ACL控制,很可能会被暴力破解;在生产环境中,这是一种重大的安全影响因素,然而Redis 6.0扩展的Auth得以弥补这一隐患,助力安全生产。如果是新版本的,推荐大家尝试外部ACL file方式配置来管理用户访问控制权限。Redis ACL用户管理方面,其中key的配置因为支持正则表达式,所以还能给出各种不同的表达式,这个正则表达式就推荐更多的小伙伴自行去尝试吧。
Redis 7.x 系列【36】访问控制表(ACL
最新发布
记录知识、锤炼自我
08-06 1326
认证和访问控制是实现网络安全的重要措施,Redis 6 引入了ACL(Access Control List)访问控制列表功能,允许限制连接可以执行的命令和可以访问的键。
深入了解下redisacl
nisp_zhangshuai的博客
09-01 1918
介绍在Redis6之前的版本,我们只能使用requirepass参数给default用户配置登录密码,同一个redis集群的所有开发都共享default用户,难免会出现误操作把别人的key删掉或者数据泄露的情况,那之前我们也可以使用rename command的方式给一些危险函数重命名或禁用,但是这样也防止不了自己的key被其他人访问。登陆Redis Server只需要输入密码(前提配置了密码 requirepass )即可,不需要输入用户名,而且密码也是明文配置到配置文件中,安全性不高。
Redis的用户权限管理(ACL)功能
m0_70331483的博客
04-10 745
Redis的用户权限管理(ACL)功能
RedisACL
qq_21335855的博客
12-08 1506
redis ACL
redis v6 windows 源码编译版
08-26
在Windows上编译Redis源码,开发者可能需要安装GCC或MinGW等交叉编译工具链,以便将C语言源代码转换为可以在Windows环境下执行的二进制文件。这个过程包括获取源代码、配置编译环境、编译源码、链接库以及测试编译...
RedisDeskTopManager(2019-2022)
05-11
RDM支持所有最新的Redis:registered:功能:ACL,流,群集,Sentinel,ReJSON模块,HyperLogLog等。内置的TLS,SSH和SSH上的TLS隧道可轻松安全地访问任何Redis服务器。 RDM可与Amazon ElastiCache,Microsoft Azure ...
RedisDeskTopManager(0.3-0.4)
05-12
RDM支持所有最新的Redis:registered:功能:ACL,流,群集,Sentinel,ReJSON模块,HyperLogLog等。内置的TLS,SSH和SSH上的TLS隧道可轻松安全地访问任何Redis服务器。 RDM可与Amazon ElastiCache,Microsoft Azure ...
RedisDeskTopManager(0.7-0.9)
05-11
RDM支持所有最新的Redis:registered:功能:ACL,流,群集,Sentinel,ReJSON模块,HyperLogLog等。内置的TLS,SSH和SSH上的TLS隧道可轻松安全地访问任何Redis服务器。 RDM可与Amazon ElastiCache,Microsoft Azure ...
redisacl
weixin_72146684的博客
09-01 650
@: 添加一类命令,如:@admin, @set, @hash ... 可以ACL CAT 查看具体的操作指令。特殊类别@all表示所有命令,包括当前在服务器中存在的命令,以及将来将通过模块加载的命令。-@: 类似+@,从客户端可以调用的命令列表中删除命令。+:将命令添加到用户可以调用的命令列表中,如+@hash。-: 将命令从用户可以调用的命令列表中移除。+@all 代表可以操作的command(命令)
Redis安全之ACL模块
Yanping-1003
08-17 274
Redis ACL是访问控制列表的缩写,它可以实现某些连接在执行的命令和访问的密钥方面受到限制。它的工作方式是,在连接后,客户端需要提供用户名和有效密码来进行身份验证。如果身份验证成功,则连接将与给定用户的限制相关联。在默认配置中,Redis 6(第一个拥有ACL的版本)的工作方式与旧版本的Redis完全相同。每个新连接都能够调用每一个可能的命令并访问每一个密钥,因此ACL功能与旧客户端和应用程序向后兼容。
Redis 6.0 权限控制命令 ACLs 详解
商亮的技术手册
05-31 9910
目录 1. 前言 2. 什么是 ACL 2. 什么时候使用 ACLs 3.ACL 规则 启动或禁用用户 启用或禁用命令 允许或禁止访问某些 KEY 为用户配置有效密码 4. ACL 常用命令 ACL LIST ACL SETUSER ACL GETUSER ACL DELUSER ACL USERS ACL WHOAMI ACL CAT ACL SAVE ACL LOAD ACL GENPASS ACL LOG ACL HELP 1. 前言 在使用 Redi.
Redis 6.0 后 ACL 使用
余农场主
05-30 647
我们来看一下默认刚初始化的 users.acl配置文件中,是用户的一个集合。每个用户都占一行。下面来分析一下这个rule由着七段组成。这五个就叫rule。RULE 就是限制用户行为的规则。下面来解释一下上面no 用户开启,如果设置为 off 说明用户被禁用nopass 用户不设置密码。~* 允许对所有的 key 进行操作&* 允许对所有的 channel 进行 Pub/Sub+@all 这里我们可以通过ACL CAT来看所有的分类,+@类似于一个组,这个组里面可以支持哪一些。
【翻译】RedisACL访问控制机制
antarctica5566的博客
05-23 955
这包括FLUSHALL、MIGRATE、RESTORE、SORT、KEYS、CLIENT, DEBUG、INFO、CONFIG、SAVE、REPLICAOF等.# 包括DEL、RESTORE、DUMP、RENAME、EXISTS、DBSIZE、KEYS、EXPIRE、TTL、FLUSHALL等。# 如果此用户具有“nopass”规则,则新连接将立即作为“默认”用户进行身份验证,而无需通过AUTH命令提供任何密码。
Redis6.0的新特性ACL的介绍
归来仍少年
01-19 2348
acl的优势: redis6之前的传输都是基于tcp明文传输的,redis6增加了TLS加密传输,并且引入了ACL访问控制列表。在之前版本,密码认证是通过requirepass明文配置在redis.conf文件中的,安全性不高。其次,应用连接也是使用配置的同一个用户,具体安全性和风险的隐患。 redis acl是向后兼容的,默认情况下用户为default,使用的是requirepass配置的方式。如果不使用acl功能,对旧版客户端是完全一样的。 1.认证方式 auth <password
Redis 6.0+ 的 ACL 机制
RAB
04-19 1416
Redis 6.0+ 的 ACL 机制。
深入解析Redis源码:第二部分
"Redis源码分析第二部分" 在Redis源码分析的第二部分,我们将深入理解Redis的核心组件和实现机制。Redis是一个高性能的键值存储系统,它的源代码清晰、结构紧凑,是学习数据库系统设计和C语言编程的绝佳材料。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值