前言
psql登录数据时有那么几种认证方式:信任认证(trust), 口令认证(password、md5), 身份认证(ident)等。
出于安全考虑一般会选择口令认证,但password是以明文传送的,所以说md5要相对更安全一些。下面就以md5为例介绍下psql登录数据库时,客户端和服务端的认证过程。
原理
在服务端,整个认证过程基本都是在ClientAuthentication函数中完成。
1. psql登录时,首先会给服务端发送一个连接请求。
2. 服务端接收到客户端的连接申请后,调用hba_getauthmethod函数,对客户端的ip,database,user等
逐个匹配pg_hba.conf(启动数据时已加载到内存中)的记录,直到找到匹配符合条件的记录。
3. 服务端鉴定客户端符合连接请求后,会通过sendAuthRequest向客户端发送认证方法方法(这里以md5为例)和随机生成的盐值salt。
下面就是服务端和客户端密码验证的过程了。这里首先介绍下创建用户时密码的生成过程。
创建用