redis用户权限管理 - ACL详解第一篇

已于 2023-01-04 21:33:05 修改
阅读量3.6k 收藏 13
点赞数 2
分类专栏: redis 文章标签: redis权限 redisACL redis的ACL redis之ACL详解
于 2022-12-26 18:24:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzf279533105/article/details/128400178
版权

由于redis的ACL内容较多,故一共分为三篇博客

redis用户权限管理 - ACL详解第一篇_YZF_Kevin的博客-CSDN博客

redis用户权限管理 - ACL详解第二篇_YZF_Kevin的博客-CSDN博客

redis用户权限管理 - ACL详解第三篇_YZF_Kevin的博客-CSDN博客

简言

redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作。如果想禁用某些不安全的命令,比如flushdb,flushall,只能通过rename-command的方式来避免

redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令,可访问的key

目录

1. ACL LIST 查看所有的用户权限列表

2. ACL SETUSER 创建/设置指定用户的权限

3. ACL设置密码/取消密码

4. ACL DELUSER 删除指定用户

5. ACL WHOAMI 查看当前使用的用户

6. ACL GETUSER 获取指定用户的详细权限信息

详细

1. ACL LIST 查看所有的用户权限列表

默认情况下,没有开启认证密码时,redis中默认有一个default的用户,如下图所示

127.0.0.1:6379> ACL LIST
1) "user default on nopass ~* &* +@all"

default 表用户名,兼容以前的AUTH命令,如果执行AUTH命令时不写用户名,redis认为是在认证这个default用户

on 表已启用该用户,off表禁用

nopass 表没有密码

~* 表可访问全部的数据Key(正则匹配)

+@all 表示用户的权限, "+"添加权限;"-"删减权限;@为redis命令分类; 可以通过 ACL CAT 查询相关分类,all表全部的命令集合,最终 +@all 表示拥有所有命令集合的所有权限

2.  ACL SETUSER 创建/设置指定用户的权限

127.0.0.1:6379> ACL SETUSER TEST
OK
127.0.0.1:6379> ACL LIST
1) "user TEST off resetchannels -@all"
2) "user default on nopass ~* &* +@all"

执行ACL SETUSER TEST 可以添加一个用户TEST,语句执行成功后再次ACL LIST可以看到已经创建了TEST用户,但是这个用户目前为不可用状态(off),没有密码(虽然没有nopass标记),并且没有任何权限(-@all)

此时TEST用户没有密码,在另一个redis连接上执行 AUTH TEST进行该用户的认证,结果如下

127.0.0.1:6379> AUTH TEST
(error) ERR AUTH <password> called without any password configured for the default user. Are you sure your configuration is correct?

意思是使用AUTH命令需带密码,如果没有指明用户,则redis认为是在认证default用户。所以现在是认为你在认证默认的default用户,而且密码错误了

我们指定认证TEST用户,再加上密码,结果如下

127.0.0.1:6379> AUTH TEST 123456
(error) WRONGPASS invalid username-password pair or user is disabled.

可以看到现在redis提示密码错误或者用户已被禁用,这也是上面的“user TEST off resetchannels -@all”中off导致的,即off表用户处于不可用状态

启用用户的格式: ACL SETUSER 用户名 on

127.0.0.1:6379> ACL SETUSER TEST on
OK
127.0.0.1:6379> 
127.0.0.1:6379> ACL LIST
1) "user TEST on resetchannels -@all"
2) "user default on nopass ~* &* +@all"

启用用户后,可以看到TEST用户已经为on标记了,但由于没有密码,此时仍然不可以认证登陆TEST

禁用用户的格式: ACL SETUSER 用户名 off

127.0.0.1:6379> ACL SETUSER TEST off
OK
127.0.0.1:6379> ACL LIST
1) "user TEST off resetchannels -@all"
2) "user default on nopass ~* &* +@all"

3. ACL设置密码/取消密码

现在我们为用户TEST设置密码,设置为123456,注意格式,密码前面有个>符号

127.0.0.1:6379> ACL SETUSER TEST >123456
OK
127.0.0.1:6379> 
127.0.0.1:6379> ACL LIST
1) "user TEST off #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 resetchannels -@all"
2) "user default on nopass ~* &* +@all"

设置密码后再次运行ACL LIST可以看到,原来的密码部分,已经被替换成了一个以#开头,64位的字符串,这就是redis对密码加密后结果

下面我们再取消密码,格式: ACL SETUSER 用户名 <旧密码

127.0.0.1:6379> ACL SETUSER TEST <12345
(error) ERR Error in ACL SETUSER modifier '<12345': The password you are trying to remove from the user does not exist
127.0.0.1:6379> 
127.0.0.1:6379> ACL SETUSER TEST <123456
OK
127.0.0.1:6379> 
127.0.0.1:6379> ACL LIST
1) "user TEST off resetchannels -@all"
2) "user default on nopass ~* &* +@all"

第一次取消密码时,用的密码是错的,redis会提示你使用的密码错误

第二次取消密码成功了,再次用 ACL LIST 命令查看,可以看到密码部分已经没了

4. ACL DELUSER 删除指定用户

127.0.0.1:6379> ACL DELUSER TEST
(integer) 1
127.0.0.1:6379> ACL LIST
1) "user default on nopass ~* &* +@all"

删除TEST后可以看到,只剩下最初的default用户了

注意为了防止误操作,这个default用户是不能删除的,强行删除时会有以下报错

127.0.0.1:6379> ACL DELUSER default
(error) ERR The 'default' user cannot be removed

需要注意的是删除某个用户是立即生效的,如果这个用户当时已经连接redis,连接不会立即断开,但是只要一执行redis命令,就会被redis服务器断开连接,如下图

5. ACL WHOAMI 查看当前使用的用户

127.0.0.1:6379> ACL LIST
1) "user TEST on #481f6cc0511143ccdd7e2d1b1b94faf0a700a8b49cd13922a70b5ae28acaa8c5 resetchannels -@all"
2) "user default on nopass ~* &* +@all -get"
127.0.0.1:6379> ACL WHOAMI
"default"

可以看到,当前使用的是default用户

6. ACL GETUSER 获取指定用户的详细权限信息

127.0.0.1:6379> ACL LIST
1) "user TEST on #481f6cc0511143ccdd7e2d1b1b94faf0a700a8b49cd13922a70b5ae28acaa8c5 resetchannels -@all"
2) "user default on nopass ~* &* +@all"
127.0.0.1:6379> 
127.0.0.1:6379> 
127.0.0.1:6379> ACL GETUSER TEST
 1) "flags"
 2) 1) "on"
 3) "passwords"
 4) 1) "481f6cc0511143ccdd7e2d1b1b94faf0a700a8b49cd13922a70b5ae28acaa8c5"
 5) "commands"
 6) "-@all"
 7) "keys"
 8) ""
 9) "channels"
10) ""
11) "selectors"
12) (empty array)

可以看到,ACL GETUSER 和 ACL LIST基本差不多,只是前者是获取单个用户的信息,显示结果也更清晰,逐个字段地解释

以上面为例

flags 字段的值为 on   表已启用

passwords 字段的值为 481f6cc0511143ccdd7e2d1b1b94faf0a700a8b49cd13922a70b5ae28acaa8c5   表加密后的密码

commands 字段的值为 -@all   表没有任何命令集合的权限

keys 字段的值为 空    表没有任何key的操作权限

channels 字段的值为 空

selectors 字段的值为 空

YZF_Kevin
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文搞懂redis用户权限管理ACL)功能
cj_eryue的博客
06-26 6702
Redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作。如果想禁用某些不安全的命令,比如flushdb,flushall,只能通过rename-command的方式来避免。redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令,可访问的key等。
Redis Cluster 7.0 用户管理ACLs权限控制
楼上别吵了,我想睡觉
02-08 1641
在内部,首先检查根权限,然后按照添加的顺序检查选择器。例如:某个用户ACL规则设置为+GET ~key1 (+SET ~key2),那么该用户可以执行。
Redis添加新的用户并设置
最新发布
Orlando_Ari的博客
05-26 319
Redis添加一个新的用户,并设置用户的密码权限等信息
ACL SETUSER rule [rule ...]
BLOG域名:programb.blog.csdn.net
04-29 580
Available since 6.0.0. Time complexity: O(N). Where N is the number of rules provided. Create an ACL user with the specified rules or modify the rules of an existing user. This is the main interface i...
解锁新技能《Redis ACL SETUSER命令》
OceanSky的专栏
09-03 1102
ACL SETUSER指令根据指定的规则创建用户或修改一个已经存在用户的访问规则,可以指定用户访问key的权限、访问命令行指令的权限、访问所有通道的权限
Redis权限和访问控制
互联网知识分享
08-30 702
规则由以下几个关键部分组成:用户用户组、密码、允许的命令、允许的键、拒绝的命令和拒绝的键。然而,密码认证机制并没有提供细粒度的权限控制,只能对所有用户提供相同的权限。的权限和访问控制功能提供了一种灵活且细粒度的权限控制机制,管理员可以根据实际需求设置不同的。使用基于角色的访问控制模型,用户可以被授权执行特定的操作,如读取、写入、管理键空间等。,可以为每个用户用户组分配不同的权限,实现更加安全和可控的。,可以设置不同的用户用户组,并为它们分配不同的权限。命令来配置和管理用户用户组和权限
Redis稳定版 Redis-x64-5.0.14.1.zip
07-21
Redis,全称Remote Dictionary Server,是一款高性能的键值对存储系统,被广泛应用于缓存、数据库和消息中间件等场景。本次提供的版本是Redis的稳定版——Redis-x64-5.0.14.1,针对64位操作系统设计。在深入探讨...
Redis-x64-5.0.14.msi和Redis-x64-5.0.14.zip
12-20
总的来说,`Redis-x64-5.0.14.msi`适合快速部署和简单管理,而`Redis-x64-5.0.14.zip`适合有特殊需求或熟悉Redis配置的用户。无论哪种方式,都能让开发者在Windows环境中充分利用Redis的强大功能。
Redis及其管理工具:Redis-x64-5.0.14.1、RESP-app
11-03
描述中提到的“RESP_app”是一个Redis响应协议(REdis Simple String Protocol)的应用程序,可能是一个图形用户界面(GUI)工具,用于管理和操作Redis服务器。RESP是Redis默认的通信协议,它使得客户端与服务器之间...
Redis管理工具redisplus-3.2.0-win-x86_64
07-01
RedisPlus是为Redis可视化管理开发的一款开源免费的桌面客户端软件,支持Windows 、Linux、Mac三大系统平台,RedisPlus提供更加高效、方便、快捷的使用体验,有着更加现代化的用户界面风格。该软件支持单机、集群...
redis-stack-server 7.2.0 安装包合集
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
Redis6新特性之ACL安全策略(用户权限管理
会哭的雨@的博客
07-20 3055
介绍 在Redis6之前的版本,我们只能使用requirepass参数给default用户配置登录密码,同一个redis集群的所有开发都共享default用户,难免会出现误操作把别人的key删掉或者数据泄露的情况,那之前我们也可以使用rename command的方式给一些危险函数重命名或禁用,但是这样也防止不了自己的key被其他人访问。 因此Redis6版本推出了ACL(Access Control List)访问控制权限的功能,基于此功能,我们可以设置多个用户,并且给每个用户单独设置命令权限和数据权限
redis配置外部acl访问控制列表
qq_51490070的博客
08-15 838
代码】redis配置外部acl访问控制列表。
redis 用户权限管理
fanghailiang2016的博客
11-29 2242
redis6 可以使用acl命令创建用户分配权限,还可以支持操作key的范围
Redis 账号密码说明
喝醉酒的小白
05-23 7830
但是,如果使用中间件,可以通过中间件来实现普通用户的概念,即将不同用户的数据分开存储,并限制不同用户之间的访问权限。其中,user:testuser 表示该用户的名称,on 表示该用户已经被启用,~* 表示该用户没有被限制访问的数据库和键空间,&* 表示该用户没有被限制执行的命令,+@all 表示该用户被授予了所有权限。在应用程序中,使用不同的Redis连接来模拟不同的用户连接。注意:这里的密码是所有连接Redis用户都需要使用的密码,如果需要区分不同用户权限,可以使用RedisACL功能。
深入了解下redisacl
nisp_zhangshuai的博客
09-01 1840
介绍在Redis6之前的版本,我们只能使用requirepass参数给default用户配置登录密码,同一个redis集群的所有开发都共享default用户,难免会出现误操作把别人的key删掉或者数据泄露的情况,那之前我们也可以使用rename command的方式给一些危险函数重命名或禁用,但是这样也防止不了自己的key被其他人访问。登陆Redis Server只需要输入密码(前提配置了密码 requirepass )即可,不需要输入用户名,而且密码也是明文配置到配置文件中,安全性不高。
Redis 6.0 后 ACL 使用
余农场主
05-30 589
我们来看一下默认刚初始化的 users.acl配置文件中,是用户的一个集合。每个用户都占一行。下面来分析一下这个rule由着七段组成。这五个就叫rule。RULE 就是限制用户行为的规则。下面来解释一下上面no 用户开启,如果设置为 off 说明用户被禁用nopass 用户不设置密码。~* 允许对所有的 key 进行操作&* 允许对所有的 channel 进行 Pub/Sub+@all 这里我们可以通过ACL CAT来看所有的分类,+@类似于一个组,这个组里面可以支持哪一些。
基于Redis实现登录
weixin_54401017的博客
12-23 2609
生成的验证码需要保存到redis中,用于后面登录时的判断。保存到redis中的数据类型选为String类型。为了保证每个用户对应的验证码的唯一性,所以使用电话作为key.
"Redis命令大全详解-超详细教程
Redis命令大全是一篇超详细教程,它包括了Redis的基本命令及常识、Key值命令、String(字符串)类型命令、Hash(哈希表)类型命令、List(集合)类型命令、Set(无序集合)类型命令、SortedSet(有序集合)类型命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值