PostgreSQL学习之SCRAM-SHA-256加密认证

已于 2024-07-08 09:26:08 修改
阅读量2.7k 收藏 31
点赞数 33
文章标签: postgresql 数据库 安全 密码学 网络攻击模型 学习
于 2024-07-05 16:00:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38700215/article/details/140206134
版权

        PostgreSQL数据库保存用户密码的方式为加密保存(准确的说是保存用户的密码与随机数的hash值),加密算法为MD5和SCRAM-SHA-256两种,保存位置为系统表pg_authid。

        SCRAM-SHA-256加密及认证流程图:

        SCRAM-SHA-256加密

SCRAM-SHA-256$4096:kgMvWNAau3NfgfcUIY89CA==$KQXDM5+0dCYCYFIjP4VcIXvrD5sqneAPImEjnR42+IY=:yt950PbOeGkvBe75WN706nGAdDOhU/2jbzxf+iRjLFU=

        密文格式解析:

        SCRAM-SHA-256:加密算法名称

        4096:循环轮数,加密过程中算法执行次数

        kgMvWNAau3NfgfcUIY89CA==:随机数

        KQXDM5+0dCYCYFIjP4VcIXvrD5sqneAPImEjnR42+IY=:stored_key

        yt950PbOeGkvBe75WN706nGAdDOhU/2jbzxf+iRjLFU=:server_key

        加密过程解析:

        实现scram-sha-256加密的函数主要是pg_be_scram_build_secret,首先获取一个随机数,该随机数会随同密码密文一同保存(如上),然后进入加密函数scram_build_secret,这里最主要是下面四步:

	/* Calculate StoredKey and ServerKey */
	if (scram_SaltedPassword(password, salt, saltlen, iterations,
							 salted_password) < 0 ||
		scram_ClientKey(salted_
最低0.47元/天 解锁文章
Debezium系列之:认证方式使用SCRAM-SHA-256
zhengzaifeidelushang的博客
12-28 1041
Debezium系列之:认证方式使用SCRAM-SHA-256
PostgreSQLSCRAM-SM3算法
07-09
在开源数据库源码PostgreSQL-14.7基础上,基于加密认证算法SCRAM-SHA-256,实现了加密认证算法SCRAM-SM3。SCRAM-SHA-256SCRAM-SM3两种算法共存,密码加密和客户端认证都多了一种基于国密算法的选择。
PostgreSQL 14默认密码加密改为scram-sha-256
Focus on PostgreSQL
05-12 4833
PostgreSQL 14中将默认的密码加密由原先的MD5修改成了scram-sha-256,这个从安全性的角度有了一定的提升。 之前我们也说过,MD5的方式如果别人获取了你密码的md5值是会存在安全问题的。因为其存储的方式为md5(‘用户名+密码’)。 PG14之前: bill=# select rolname,rolpassword from pg_authid where rolname = 'bill'; rolname | rolpassword ---------+-
HMAC-SHA256 签名详解
最新发布
weixin_39444768的博客
03-22 1445
在现代计算机安全中,数据完整性和身份认证是两个核心问题。为了确保数据在传输过程中没有被篡改,同时保证数据的来源可靠,HMAC(Hash-based Message Authentication Code,基于哈希的消息认证码)应运而生。其中,HMAC-SHA256 是一种基于 SHA-256 哈希算法的 HMAC 变体,被广泛用于 API 签名、数据完整性验证和身份认证等场景。
PostgreSQL之V10用户密码认证加密算法scram-sha-256
热门推荐
HighGO
10-12 1万+
PG V10官方手册关于用户密码的描述 PostgreSQL数据库口令独立于操作系统用户口令。每个数据库用户的口令被存储在pg_authid系统目录中。 口令可以用 SQL 命令CREATE USER和ALTER ROLE管理,例如CREATE USER foo WITH PASSWORD 'secret', 或者psql命令\password。如果没有为一个用户设置口令,那么存储的口...
Postgresql从MD5密码验证改为SCRAM-SHA-256
魂醉的一亩二分地
06-28 5349
随着密码学技术的发展,MD5哈希算法构造的密码越来越不安全,所以,PG顺应发展,从10版本开始支持了SCRAM-SHA-256加密算法,因为使用的新的哈希算法。使得在暴力破解的时候花费的代价更加昂贵。那么,接下来,在PG中看一下如何从MD5切换到SCRAM-SHA-256。 首先,太老的的驱动不支持SCRAM-SHA-256,都会报错,如JDBC,会报The authentication type 10 is not supported。那么就需要升级驱动。 接下来就是数据库服务端修改配置: #修改post
postgresql sha256
Jeruen的博客
03-21 2422
postgresql加密sha256.方法如下create extension pgcrypto ; //需要加载pgcrypto插件SELECT digest("block"::TEXT, 'sha256')::TEXT from block_chain;
SHA-1被攻破了吗? PostgreSQL SCRAM-SHA-256 安全认证机制解救你来了
weixin_34119545的博客
03-09 1486
标签 PostgreSQL , 认证方法 , SCRAM-SHA-256 , scram , scram-sha-256-plus , SASL , Simple Authentication and Security Layer 背景 PostgreSQL的很多设计非常的工业化,比如开放了许多扩展接口(类型、操作符、索引、扫描、采样、数据库编程语言...
PostgreSQL身份验证MD5升级SCRAM-SHA-256
swordlb的博客
12-04 526
PostgreSQL身份验证MD5升级SCRAM-SHA-256,及安全加固。
PG口令加密算法从MD5升级到SCRAM-SHA-256
04-13 1020
PG口令加密算法从MD5升级到SCRAM-SHA-256 1、前提条件 确保PG实例版本是10及以上版本。 postgres=# select version(); version -------------------------------------------------------------------
POSTGRESQL中从MD5到SCRAM-SHA-256
刘元林的博客
12-28 807
从 v10 开始,PostgreSQL 提供了对密码哈希和身份验证的支持。本文介绍了如何安全地调整您的应用程序。
java使用assign订阅,使用SASL_SSL协议的SCRAM-SHA-256加密方式消费kafka数据
malz_zh的博客
06-08 1555
properties.put("sasl.jaas.config", "org.apache.kafka.common.security.scram.ScramLoginModule required username='用户名' password='密码';//消费者连接的超时时间。
Sha256加密
u014297475的博客
01-03 1289
using System.Security.Cryptography;  ///         /// 256位散列加密         ///         /// 明文         /// 密文         public static string Sha256(string plainText)         {             SHA256
人大金仓数据库KingbaseES SCRAM-SHA-256加密介绍
arthemis_14的博客
11-10 1015
KingbaseES、SCRAM-SHA-256安全功能 、人大金仓SCRAM(Salted Challenge Response Authentication Mechanism)是一种用于身份验证的安全协议,用于在通信过程中验证用户身份而不暴露敏感信息,最初是为了应对密码泄露和中间人攻击而设计的,广泛用于数据库、通讯协议(如XMPP、SMTP)等领域。SHA-256是一种加密哈希函数,他是SHA-2(Secure Hash Algorithm 2)系列中的一部分。
SQL Server MD5,SHA1,SHA2-256,SHA2-512 加密使用
amx_006的博客
11-30 1278
SHA2-256,SHA2-512 加密算法 SQL Server版本只有2012及以上的版本才开始支持。MD5,SHA1 加密算法 SQL Server版本都支持。
Debezium报错处理系列之七十八:Client SASL mechanism ‘SCRAM-SHA-256‘ not enabled in the server, enabled mechanis
zhengzaifeidelushang的博客
06-27 977
Debezium报错处理系列之七十八:Client SASL mechanism 'SCRAM-SHA-256' not enabled in the server, enabled mechanisms are [PLAIN]
Kafka 压缩、限流和 SASL_PLAIN 、 SASL_SCRAM-SHA-256简单认证
weixin_39750695的博客
10-03 1995
限流方式 方式 优点 缺点 client id 简单便捷 client id,一次只能有一个生产者实例,只能单并发 user 可以多 producer 同时进行,可与client id 进行组合,可以设置用户密码,增加一定的安全性,但用户名密码位置容易暴露 需要对kafka 开启安全认证,部署复杂行增加 基于 client id 限流 使用方法 # 对 test_lz4_10m_client 进行限流 生产消费速率为 10 M/S ./bin/kafka-configs.sh --
【openGauss】用plpgsql实现sha256算法(踩坑填坑实录)
DarkAthena的博客
04-27 2368
前言 在开发中,经常会使用类似MD5/ SHA-1/ SHA-2这样的hash算法来对数据进行处理,以防原始信息泄露,比如密码的存储。 SHA-2中的SHA256安全性比MD5更高,因此很多数据库增加了对SHA256计算的支持。 比如从oracle12c起,数据库内原生提供了DBMS_CRYPTO包和STANDARD_HASH函数,可以用来进行sha256计算。在postgresql中,可以通过安装pgcrypto扩展来支持,安装命令也很简单。 sql create extension pgcrypto;
pg_hba.conf 中 md5 和 scram-sha-256 的区别
一名数据库爱好者的专栏
06-29 4793
db: postgresql 11 auth-method 指定当一个连接匹配这个记录时,要使用的认证方法。下面对可能的选择做了概述,详见第 20.3 节。 trust 无条件地允许连接。这种方法允许任何可以与PostgreSQL数据库服务器连接的用户以他们期望的任意PostgreSQL数据库用户身份登入,而不需要口令或者其他任何认证。详见第 20.4 节。 reject 无条件地拒绝连接。这有助于从一个组中“过滤出”特定主机,例如一个reject行可以阻塞一个特定的主机连接,而后面一行允许一个特定网络中的
kafka sasl/scram
01-25
### Kafka SASL/SCRAM 认证机制配置与最佳实践 #### 1. SASL/SCRAM 认证概述 Kafka 支持多种安全协议来保护集群通信的安全性,其中SASL/SCRAM是一种常用的认证方式。通过这种方式可以增强客户端到服务器以及代理之间的身份验证安全性[^1]。 #### 2. 配置服务端参数 为了启用SASL/SCRAM,在Kafka Broker上需要修改`server.properties`文件并添加如下设置: ```properties listeners=SASL_PLAINTEXT://:9092 sasl.enabled.mechanisms=SCRAM-SHA-256,SCRAM-SHA-512 security.inter.broker.protocol=SASL_PLAINTEXT listener.name.sasl_plaintext.scram-sha-256.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required; listener.name.sasl_plaintext.scram-sha-512.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required; ``` 这些属性定义了监听器类型、允许使用的散列算法(SHA-256SHA-512),以及内部代理间通讯所采用的身份验证方法。 #### 3. 创建用户凭证 接下来要创建用于连接Kafka的用户名及其对应的密码哈希值。这可以通过执行Zookeeper命令完成: ```bash bin/kafka-configs.sh --zookeeper localhost:2181 \ --alter --add-config 'SCRAM-SHA-256=[password=<your_password>],SCRAM-SHA-512=[password=<your_password>]' \ --entity-type users --entity-name your_username ``` 上述脚本会向指定名称的用户添加两种不同强度级别的SCRAM密钥。 #### 4. 设置客户端配置 对于Windows 11环境下的Kafka客户端而言,则需编辑位于`\kafka2.12.3.8.0\config\client.properties`路径下相应的配置文件,并加入必要的选项以支持SASL/SCRAM认证模式[^2]: ```properties bootstrap.servers=localhost:9092 security.protocol=SASL_PLAINTEXT sasl.mechanism=SCRAM-SHA-256 sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="your_username" password="<your_password>"; ``` 这里指定了引导服务器地址、安全协议种类、具体选用哪种散列函数作为协商机制,还有最重要的JAAS登录模块配置字符串,它包含了实际参与鉴权过程中的账号信息。 #### 5. 测试连接 最后一步就是尝试发送消息测试整个流程是否正常工作。如果一切顺利的话,应该能够成功建立带有SASL/SCRAM保护措施的数据传输通道。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值