一文搞懂redis的用户权限管理(ACL)功能

已于 2024-07-12 11:34:03 修改
阅读量6.8k 收藏 30
点赞数 14
分类专栏: redis 文章标签: redis 缓存
于 2023-06-26 17:52:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cj_eryue/article/details/131401400
版权

目录

前言

一、acl基本操作

1.1 、查看用户

1.2、创建用户

1.3、启用/禁用用户

1.4、设置密码/取消密码 

1.5、删除用户

二、用户的权限操作

2.1 、查看所有命令集合

2.2、增加/取消指定命令集合的权限

三、ACL的持久化

3.1、持久化ACL配置

3.2、从配置文件中读取ACL配置

四、其它操作

4.1. ACL测试能否使用指定命令

前言

Redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作。如果想禁用某些不安全的命令,比如flushdb,flushall,只能通过rename-command的方式来避免。

redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令,可访问的key等。

一、acl基本操作

1.1 、查看用户

[root@localhost bin]# ./redis-cli 
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"

default 表示用户名,兼容以前的AUTH命令,如果执行AUTH命令时不写用户名,redis认为是在认证这个default用户

on 表示已启用该用户,off表禁用

nopass 表示没有密码

~* 表示可访问全部的数据Key(正则匹配)

&* 表示允许用户访问所有Pub/Sub频道(正则匹配)。

+@all 表示用户的权限, "+"添加权限;"-"删减权限;@为redis命令分类; 可以通过 ACL CAT 查询相关分类,all表全部的命令集合,最终 +@all 表示拥有所有命令集合的所有权限。

或者使用acl users查看,内容很简洁,只展示了用户名

127.0.0.1:6379> acl users
1) "default"

ACL WHOAMI 查看当前使用的用户

127.0.0.1:6379> ACL WHOAMI
"default"

 ACL GETUSER 获取指定用户的详细权限信息

127.0.0.1:6379> ACL GETUSER default
 1) "flags"
 2) 1) "on"
    2) "allkeys"
    3) "allchannels"
    4) "allcommands"
    5) "nopass"
 3) "passwords"
 4) (empty array)
 5) "commands"
 6) "+@all"
 7) "keys"
 8) 1) "*"
 9) "channels"
10) 1) "*"

1.2、创建用户

127.0.0.1:6379> ACL SETUSER user
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"
2) "user user off &* -@all

这样创建的用户是不可用状态(off),没有密码(虽然没有nopass标记),并且没有任何权限(-@all)的

1.3、启用/禁用用户

启用用户:

127.0.0.1:6379> ACL SETUSER user on
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"
2) "user user on &* -@all"

禁用用户则为 ACL SETUSER 用户名 off

1.4、设置密码/取消密码 

127.0.0.1:6379> ACL SETUSER user >111111
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"
2) "user user on #bcb15f821479b4d5772bd0ca866c00ad5f926e3580720659cc80d39c9d09802a &* -@all"

取消密码 acl setuser 用户名 <111111

1.5、删除用户

127.0.0.1:6379> ACL DELUSER user
(integer) 1
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"

二、用户的权限操作

2.1 、查看所有命令集合

使用acl cat

127.0.0.1:6379> acl cat
 1) "keyspace"
 2) "read"
 3) "write"
 4) "set"
 5) "sortedset"
 6) "list"
 7) "hash"
 8) "string"
 9) "bitmap"
10) "hyperloglog"
11) "geo"
12) "stream"
13) "pubsub"
14) "admin"
15) "fast"
16) "slow"
17) "blocking"
18) "dangerous"
19) "connection"
20) "transaction"
21) "scripting"

redis目前把所有的命令一共归类了21个集合,我们可以很方便地对某个用户添加/删除某个命令集合的权限。

需要注意的是,同一个命令有可能属于多个不同的命令集合,多个集合之间存在交集,比如get命令既属于命令集合string,也属于命令集合fast

ACL CAT xxxx 查看指定命令集合的所有子命令

127.0.0.1:6379> acl cat string
 1) "msetnx"
 2) "setrange"
 3) "strlen"
 4) "getrange"
 5) "setnx"
 6) "getset"
 7) "getdel"
 8) "setex"
 9) "mget"
10) "decrby"
11) "stralgo"
12) "get"
13) "append"
14) "mset"
15) "decr"
16) "psetex"
17) "substr"
18) "incrbyfloat"
19) "getex"
20) "set"
21) "incr"
22) "incrby"

2.2、增加/取消指定命令集合的权限

先给用户user设置密码111111,再启用,确保user用户可以进行登陆

127.0.0.1:6379> ACL SETUSER user on >111111
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"
2) "user user on #bcb15f821479b4d5772bd0ca866c00ad5f926e3580720659cc80d39c9d09802a &* -@all"

另起一个客户端连接,

[root@localhost bin]# ./redis-cli 
127.0.0.1:6379> auth user 111111
OK
127.0.0.1:6379> get name
(error) NOPERM this user has no permissions to run the 'get' command or its subcomman

可以看到,用户没有权限运行get命令;我们知道这个get是string类型数据的命令,我们来给user添加string类型数据的所有权限,多个类型命令用空格隔开

127.0.0.1:6379> ACL SETUSER user ~* +@string
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"
2) "user user on #bcb15f821479b4d5772bd0ca866c00ad5f926e3580720659cc80d39c9d09802a ~* &* -@all +@string"

~*  表示key的范围是全部key,+@string  表示添加string类型的所有命令

重开一个客户端测试:

[root@localhost bin]# ./redis-cli 
127.0.0.1:6379> auth user 111111
OK
127.0.0.1:6379> set name cjian
OK
127.0.0.1:6379> get name
"cjian"

ACL SETUSER 用户名 -@命令集合名    给指定用户删除指定命令集合的权限

多个命令集合用空格隔开

上面user用户可以执行string的set命令的,我们来将这个权限去掉

127.0.0.1:6379> ACL SETUSER user -set
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"
2) "user user on #bcb15f821479b4d5772bd0ca866c00ad5f926e3580720659cc80d39c9d09802a ~* &* -@all +@string -set"

重开一个客户端测试:

[root@localhost bin]# ./redis-cli 
127.0.0.1:6379> auth user 111111
OK
127.0.0.1:6379> set name haha
(error) NOPERM this user has no permissions to run the 'set' command or its subcommand
127.0.0.1:6379> get name
"1"

多个的情况:

127.0.0.1:6379> ACL SETUSER user +ttl +hset +hlen
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"
2) "user user on #bcb15f821479b4d5772bd0ca866c00ad5f926e3580720659cc80d39c9d09802a ~* &* -@all +@string +hset +hlen +ttl -set

前面讲的+@xxx,-@xxx, +xxx, -xxx 讲的是增加删除命令集合的权限,增加删除子命令的权限,这些权限的key范围都是~*,也就是全部的key。这个时候依然不安全,因为有些时候为了防止泄密,我们只想让用户拥有个别key的操作权限,此时不仅要限制用户可用的命令集合或子命令,还要限制key的范围,比如我们想让用户 user 只对以 testget: 开头的这些 key 有权限,可以像下面这样设置:

127.0.0.1:6379> ACL SETUSER user resetkeys ~testget:*
OK
127.0.0.1:6379> acl lsit
1) "user default on nopass ~* &* +@all"
2) "user user on #bcb15f821479b4d5772bd0ca866c00ad5f926e3580720659cc80d39c9d09802a ~testget:* &* -@all +@string +hset +hlen +ttl -set"

重开一个客户端测试:

[root@localhost bin]# ./redis-cli 
127.0.0.1:6379> auth user 111111
OK
127.0.0.1:6379> get name
(error) NOPERM this user has no permissions to access one of the keys used as arguments
127.0.0.1:6379> get testget:1
(nil)

三、ACL的持久化

3.1、持久化ACL配置

上面的这些设置都是保存在redis内存中,一旦redis重启,这些设置就会全部失效,要想持久化必须保存成文件,redis的ACL已经为我们提供了这些功能。

如果想持久化保存ACL配置,也就是把ACL相关权限设置都保存到文件中,分为两个步骤

① 在redis配置文件中设置要导出的ACL配置文件全路径名,如下,注意ACL的配置文件名必须以.acl结尾:

aclfile /home/redis6/users.acl

# 切记,这里一定要保证该文件已存在,可以使用 touch  /home/redis6/users.acl 来创建文件

② 执行 acl save

127.0.0.1:6379> ACL SAVE
OK

 查看该文件,可以发现和acl list看到的内容一致:

[root@localhost redis6]# cat users.acl 
user default on nopass ~* &* +@all
user user on #bcb15f821479b4d5772bd0ca866c00ad5f926e3580720659cc80d39c9d09802a ~testget:* &* -@all +@string +hset +hlen +ttl -set

3.2、从配置文件中读取ACL配置

如果已经有了acl配置文件,想直接加载到redis中生效,也很简单,首先在redis配置文件中设置ACL配置文件全路径名,然后在redis终端上运行命令 ACL LOAD 命令即可

我们接着第一步的操作,先删除刚才添加的用户user,再次从ACL配置文件中加载,如下

127.0.0.1:6379> ACL DELUSER user 
(integer) 1
127.0.0.1:6379> acl list
1) "user default on nopass ~* &* +@all"
127.0.0.1:6379> acl load
OK
127.0.0.1:6379> acl list
1) "user default on nopass sanitize-payload ~* &* +@all"
2) "user user on #bcb15f821479b4d5772bd0ca866c00ad5f926e3580720659cc80d39c9d09802a ~testget:* &* -@all +@string +hset +hlen +ttl -set"

四、其它操作

4.1. ACL测试能否使用指定命令

该命令在7及以上版本才支持

cj_eryue
关注
  • 14
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Redis配置ACL用户+多权限管理【只读、读写、复制】+常用必备指令
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
04-10 829
Redis 6.0 中,引入了 ACL(Access Control List) 的支持,在此前的版本中 Redis 中是没有用户的概念的,其实没有办法很好的控制权限,redis 6.0 开始支持用户,可以给每个用户分配不同的权限来控制权限;下面我们就来介绍一下 Redis 6.0 中的 ACL 的实际使用方法;
Redis 用户管理手册
qq_25241721的博客
09-15 1216
以下是有效 ACL 规则的列表。ACL SETUSER会创建具有指定ACL规则的用户或修改现有用户ACL规则。如果用户名不存在,则该命令创建没有任何权限的用户名,然后从左到右读取所有规则,将用户ACL规则设置为指定的规则;为保障与旧版本的Redis的兼容,Redis 6有一个默认配置,默认配置会对默认用户的新连接进行身份验证,即每个新连接都能够调用所有命令并访问每个键,因此ACL功能向后兼容旧版本客户端和应用程序。off: 禁用用户,不允许使用此用户进行身份验证,但是已经过身份验证的连接仍然有效。
Redis部署全攻略——ACL访问控制(实现三权分立)
bbsxb520的博客
06-14 413
redis ACL的开启和使用,包括单机模式、主从模式、哨兵模式及集群模式的ACL的开启与配置。
Redis6.0新特性——ACL(权限控制列表)实现限制用户可执行命令和KEY
zwb的博客
06-21 1717
ACL是Access Control List(访问控制列表)的缩写,该功能允许根据可以执行的命令和可以访问的键来限制某些连接展示用户权限列表 查看当前用户创建和编辑用户ACL
Redis添加新的用户并设置
Orlando_Ari的博客
05-26 327
Redis添加一个新的用户,并设置用户的密码权限等信息
Redis 访问控制列表(ACL)
ChaITSimpleLove的博客
11-18 949
Redis 是一种高性能的缓存数据库,每秒可处理百万级的请求,如果没有很好的ACL控制,很可能会被暴力破解;在生产环境中,这是一种重大的安全影响因素,然而Redis 6.0扩展的Auth得以弥补这一隐患,助力安全生产。如果是新版本的,推荐大家尝试外部ACL file方式配置来管理用户访问控制权限。Redis ACL用户管理方面,其中key的配置因为支持正则表达式,所以还能给出各种不同的表达式,这个正则表达式就推荐更多的小伙伴自行去尝试吧。
Redis 6.0+ 的 ACL 机制
RAB
04-19 1159
Redis 6.0+ 的 ACL 机制。
redis常用命令
zjg
10-20 4095
redis命令参考里面描述的很详细。
使用redis记录用户登录状态
jakelihua
01-30 1204
Redis是一个基于内存的数据存储系统,它提供了丰富的数据结构和功能,包括字符串、哈希表、列表、集合和有序集合等。由于其快速、灵活和可扩展的特性,Redis被广泛应用于缓存、会话管理、队列和实时数据处理等场景。
深入了解下redisacl
x594238758的博客
09-01 589
1.添加用户权限 +,- ,+@,-@(如:+get赋予get命令权限,+set赋予set命令权限,+@list赋予list分类下的所有命令权限,,-@hash赋予hash分类别下的所有命令权限,+@all赋予所有命令权限)通过rdb备份文件同步实现,修改基于端口6379,6380,6381安装redis-sever服务的配置文件,以端口为6379的redis为主服务器,以6380,6381端口的redis为从服务器。2) CAT [](列出某分类下的所有命令或所有命令分类)
Redis场景1】用户登录注册
在长期主义之路上,与伟大格局观者同行,做时间的朋友。
12-11 1153
Redis场景实践1】用户登录注册实现,每1~2周学习整理redis中的知识点和场景实现,希望有所输入输出,每天进步一点点。
一文读懂redis五大类型.pdf
04-26
redis数据类型详解
Springboot+Shiro+Redis实现RBAC用户权限管理
07-22
总结来说,"Springboot+Shiro+Redis实现RBAC用户权限管理"是一种高效、可扩展的解决方案,它结合了Springboot的便捷性、Shiro的权限管理功能Redis的高速缓存能力,通过org.creazycake插件进一步简化了整合过程。...
Redis可视化管理工具
最新发布
06-08
RedisInsight 是一个用于管理和监控 Redis 数据库的图形用户界面(GUI)工具。它是由 Redis Labs 开发的,旨在简化开发人员和管理员对 Redis 实例的管理任务。以下是 RedisInsight 的一些关键特性: 可视化界面:...
权限管理系统
06-11
权限管理系统能够确保只有拥有特定权限的用户才能访问特定的功能或数据,从而提高系统的安全性和合规性。 菜单权限控制是权限管理的基础,它涉及到对后台系统中各个功能模块的访问限制。管理员可以设定不同角色的...
Redis基本命令(ACL和COMMAND部分).pdf
06-07
Redis基本命令(ACL和COMMAND部分)详细介绍
redis 普通用户,非root用户安装redis
panjinxiang4217的专栏
07-01 3036
1、下载地址 redis下载地址: 可以在如下的地址下载到你想要的所有版本,我们这里使用的是5.0.12 https://download.redis.io/releases/ 2、新建redis普通用户 1)、使用root登录我们的系统 2)、新建组:groupadd redis 3)、新建用户:useradd redis-g redis 4)、设置密码:passwd redis 自己输入密码即可 groupadd redis useradd redis -g red..
redis权限认证(设置密码)的方法
weixin_34232363的博客
12-13 565
redis可以通过设置密码来增强安全强度。除了设置密码,我们还可以通过修改redis的默认端口、对端口做防火墙等。那么如何开启redis的密码功能呢?以下就是详细的步骤方法:   打开redis.conf,找到requirepass所在的地方,修改为指定的密码,再去掉前面的#号注释符,然后重启redis即可。     注意:密码为明文的,所以我们要保证redis.conf文件的权限以保证更加安全...
redis:客户端管理
OceanStar的博客
10-11 1170
客户端API Client List 作用 client list命令能列出与Redis服务端相连的所有客户端连接信息 语法 redis 127.0.0.1:6379> CLIENT LIST 返回值 命令返回多行字符串,这些字符串按以下形式被格式化: 每个已连接客户端对应一行(以 LF 分割) 每行字符串由一系列 属性=值 形式的域组成,每个域之间以空格分开 标识:id、addr、fd、name ·id:客户端连接的唯一标识,这个id是随着Redis的连接自增的,重启 Redis后会
redis acl 配置权限
04-29
Redis ACL(Access Control Lists)是 Redis 6.0 中新增的一项功能,用于对 Redis 实例的访问进行细粒度控制。通过 ACL 可以对每个用户分配不同的权限,从而保证 Redis 实例的安全性。 下面是 Redis ACL 的一些配置权限示例: 1. 创建用户 ``` ACL SETUSER username password ``` 其中,`username` 为要创建的用户名,`password` 为该用户的密码。 2. 设置用户权限 ``` ACL SETUSER username on|off [command_name [key_pattern]] ``` 其中,`on` 表示允许该用户执行指定命令,`off` 表示禁止该用户执行指定命令。`command_name` 表示要设置权限的命令名,`key_pattern` 表示要设置权限的键名模式。 例如,设置用户 `test_user` 只能执行 `get` 和 `set` 命令: ``` ACL SETUSER test_user on get set ``` 3. 设置默认权限 ``` ACL SETUSER default on|off [command_name [key_pattern]] ``` 其中,`default` 表示所有用户的默认权限。可以使用 `on` 或 `off` 指定是否允许执行指定的命令。 例如,设置所有用户只能执行 `get` 和 `set` 命令: ``` ACL SETUSER default on get set ``` 4. 查看用户权限 ``` ACL GETUSER username ``` 通过该命令可以查看指定用户的权限。 5. 查看所有用户 ``` ACL USERS ``` 通过该命令可以查看当前 Redis 实例中所有的用户。 6. 删除用户 ``` ACL DELUSER username ``` 通过该命令可以删除指定的用户。 需要注意的是,Redis ACL 需要在 Redis 配置文件中启用,具体配置可以参考 Redis 官方文档。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值