启动报错信息
register db Ping default
, runtime error: slice bounds out of range [16:15]
定位过程
- 刚开始怀疑密码未编码或者密码过长,尝试使用url.escape(password)、缩短密码;
- 解决未果,使用本地断点调试方式连接数据库,逐行调试;
- 断点跑到该行: orm.RegisterDataBase(),程序与数据库连接认证的地方;
- 断点最终锁定内部auth函数(密码加密认证),完整的调用栈:
pq.(*conn).auth (conn.go:1235) github.com/lib/pq
pq.(*conn).startup (conn.go:1224) github.com/lib/pq
pq.DialOpen (conn.go:332) github.com/lib/pq
pq.Open (conn.go:242) github.com/lib/pq
pq.(*drv).Open (conn.go:50) github.com/lib/pq
sql.dsnConnector.Connect (sql.go:707) database/sql
sql.(*DB).conn (sql.go:1301) database/sql
sql.(*DB).PingContext (sql.go:799) database/sql
sql.(*DB).Ping (sql.go:817) database/sql
orm.addAliasWthDB (db_alias.go:283) github.com/astaxie/beego/orm
orm.RegisterDataBase (db_alias.go:315) github.com/astaxie/beego/orm
- 调试过程看到包的调用关系: beego.orm > database/sql > github.com/lib/pq
- 涉及的逻辑,客户端先连接数据库,问服务端密码支持什么加密方式,服务端告诉客户端支持md5或者scram-sha-256等加密方式,客户端加密后发起服务端;
- 贴上lib/pq最新的auth函数:
func (cn *conn) auth(r *readBuf, o values) {
switch code := r.int32(); code {
case 0:
// OK
case 3:
w := cn.writeBuf('p')
w.string(o["password"])
cn.send(w)
t, r := cn.recv()
if t != 'R' {
errorf("unexpected password response: %q", t)
}
if r.int32() != 0 {
errorf("unexpected authentication response: %q", t)
}
case 5:
s := string(r.next(4))
w := cn.writeBuf('p')
w.string("md5" + md5s(md5s(o["password"]+o["user"])+s))
cn.send(w)
t, r := cn.recv()
if t != 'R' {
errorf("unexpected password response: %q", t)
}
if r.int32() != 0 {
errorf("unexpected authentication response: %q", t)
}
case 7: // GSSAPI, startup
if newGss == nil {
errorf("kerberos error: no GSSAPI provider registered (import github.com/lib/pq/auth/kerberos if you need Kerberos support)")
}
cli, err := newGss()
if err != nil {
errorf("kerberos error: %s", err.Error())
}
var token []byte
if spn, ok := o["krbspn"]; ok {
// Use the supplied SPN if provided..
token, err = cli.GetInitTokenFromSpn(spn)
} else {
// Allow the kerberos service name to be overridden
service := "postgres"
if val, ok := o["krbsrvname"]; ok {
service = val
}
token, err = cli.GetInitToken(o["host"], service)
}
if err != nil {
errorf("failed to get Kerberos ticket: %q", err)
}
w := cn.writeBuf('p')
w.bytes(token)
cn.send(w)
// Store for GSSAPI continue message
cn.gss = cli
case 8: // GSSAPI continue
if cn.gss == nil {
errorf("GSSAPI protocol error")
}
b := []byte(*r)
done, tokOut, err := cn.gss.Continue(b)
if err == nil && !done {
w := cn.writeBuf('p')
w.bytes(tokOut)
cn.send(w)
}
// Errors fall through and read the more detailed message
// from the server..
case 10:
sc := scram.NewClient(sha256.New, o["user"], o["password"])
sc.Step(nil)
if sc.Err() != nil {
errorf("SCRAM-SHA-256 error: %s", sc.Err().Error())
}
scOut := sc.Out()
w := cn.writeBuf('p')
w.string("SCRAM-SHA-256")
w.int32(len(scOut))
w.bytes(scOut)
cn.send(w)
t, r := cn.recv()
if t != 'R' {
errorf("unexpected password response: %q", t)
}
if r.int32() != 11 {
errorf("unexpected authentication response: %q", t)
}
nextStep := r.next(len(*r))
sc.Step(nextStep)
if sc.Err() != nil {
errorf("SCRAM-SHA-256 error: %s", sc.Err().Error())
}
scOut = sc.Out()
w = cn.writeBuf('p')
w.bytes(scOut)
cn.send(w)
t, r = cn.recv()
if t != 'R' {
errorf("unexpected password response: %q", t)
}
if r.int32() != 12 {
errorf("unexpected authentication response: %q", t)
}
nextStep = r.next(len(*r))
sc.Step(nextStep)
if sc.Err() != nil {
errorf("SCRAM-SHA-256 error: %s", sc.Err().Error())
}
default:
errorf("unknown authentication response: %d", code)
}
}
- 由于公司内部lib/pg包版本未支持scram-sha-256加密方式,仅支持sha256。可代码逻辑上走到相同的分支(case 10)
问题解决
- 升级公司内部pg/lib版本
- 将服务端密码加密方式改成支持的类型,例如md5、sha256等
SET password_encryption = 'md5';
ALTER ROLE username SET password_encryption = 'md5';
ALTER ROLE username WITH PASSWORD 'password';
总结
这次问题的报错不详细导致无法马上看出问题,幸亏可以使用断点方式连上,逐行打印否则定位过程费事更久。
数据连接不上,主程序没有panic,单独启动连接数据库gorountine panic,导致没有发现panic的地方,不利于定位,是否pg可以改进点。