redis用户权限管理 - ACL详解第二篇

已于 2023-01-04 21:28:56 修改
阅读量768 收藏 2
点赞数
分类专栏: redis 文章标签: redis之ACL redis ACL redis ACL详解
于 2023-01-02 23:10:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzf279533105/article/details/128494978
版权

 由于redis的ACL内容较多,故一共分为三篇博客

redis用户权限管理 - ACL详解第一篇_YZF_Kevin的博客-CSDN博客

redis用户权限管理 - ACL详解第二篇_YZF_Kevin的博客-CSDN博客

redis用户权限管理 - ACL详解第三篇_YZF_Kevin的博客-CSDN博客

简言

 上一篇博客 redis用户权限管理 - ACL详解第一篇_YZF_Kevin的博客-CSDN博客

主要讲解了redis的ACL的由来,用户的增,删,改,查,设置删除密码等

这篇博客开始详细讲解redis用户的权限操作以及示例,最后再来一个复杂例子,多重权限叠加时该怎么设置

目录

1. ACL CAT 查看所有的命令集合

2. ACL CAT 命令集合名 查看指定命令集合的所有子命令

3. ACL SETUSER 用户名 +@命令集合名    给指定用户增加指定命令集合的权限

4. ACL SETUSER 用户名 -@命令集合名    给指定用户删除指定命令集合的权限

5. ACL SETUSER 用户名 +子命令 增加子命令的权限,ACL SETUSER 用户名 -子命令 删除子命令的权限

6. 多个复杂权限叠加的示例

详细

首先我们要知道的是,redis的ACL为了细化命令权限的管理,对所有的redis命令进行了分类归纳

比如string类型相关的命令都归到命令集合string中,例如get, set, incr, setnx, incrby等

比如hash类型的相关命令都归到命令集合hash中,例如hset, hget, hdel, hlen, hscan等

比如有些全局操作,比较危险的命令都归到命令集合dangerous中,例如sync, flushall, flushdb, shutdown等

比如管理相关的权限都归到命令集合admin中,比如shutdown,save,集群cluster相关,本博客讲的ACL等

1. ACL CAT 查看所有的命令集合

127.0.0.1:6379> ACL CAT
\ 1) "keyspace"
 2) "read"
 3) "write"
 4) "set"
 5) "sortedset"
 6) "list"
 7) "hash"
 8) "string"
 9) "bitmap"
10) "hyperloglog"
11) "geo"
12) "stream"
13) "pubsub"
14) "admin"
15) "fast"
16) "slow"
17) "blocking"
18) "dangerous"
19) "connection"
20) "transaction"
21) "scripting"

redis目前把所有的命令一共归类了21个集合,我们可以很方便地对某个用户添加/删除某个命令集合的权限。

需要注意的是,同一个命令有可能属于多个不同的命令集合,多个集合之间存在交集,比如get命令既属于命令集合string,也属于命令集合fast

2. ACL CAT xxxx 查看指定命令集合的所有子命令

127.0.0.1:6379> ACL CAT hash
 1) "hvals"
 2) "hrandfield"
 3) "hscan"
 4) "hget"
 5) "hmset"
 6) "hdel"
 7) "hstrlen"
 8) "hexists"
 9) "hincrbyfloat"
10) "hmget"
11) "hsetnx"
12) "hkeys"
13) "hgetall"
14) "hset"
15) "hlen"
16) "hincrby"

上面是查看命令集合hash的所有子命令,你可以看下其他的命令集合,这里就不再一一列举出来了

3. ACL SETUSER 用户名 +@命令集合名    给指定用户增加指定命令集合的权限

先给用户TEST设置密码123456,再启用,确保TEST用户可以进行登陆

127.0.0.1:6379> ACL SETUSER TEST >123456
OK
127.0.0.1:6379> ACL SETUSER TEST on
OK
127.0.0.1:6379> ACL LIST
1) "user TEST on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 resetchannels -@all"
2) "user default on nopass ~* &* +@all"

另起一个redis连接,登陆用户TEST,然后操作key,如下图

127.0.0.1:6379> AUTH TEST 123456
OK
127.0.0.1:6379> get name
(error) NOPERM this user has no permissions to run the 'get' command

上面我们运行命令了 get name ,redis提示用户没有权限运行get命令

get子命令属于命令集合string,我们给玩家添加集合string的权限即可,操作如下

127.0.0.1:6379> ACL SETUSER TEST resetkeys ~* +@string
OK
127.0.0.1:6379> get name
(nil)
127.0.0.1:6379> set name test123
OK
127.0.0.1:6379> get name
"test123"
127.0.0.1:6379> 
127.0.0.1:6379> 
127.0.0.1:6379> 
127.0.0.1:6379> ACL LIST
1) "user TEST on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* resetchannels -@all +@string"
2) "user default on nopass ~* &* +@all"

特别注意第一行命令    ACL SETUSER TEST resetkeys ~* +@string

意思是给用户TEST添加命令集合string的权限;key的范围是~*,正则表达式,表全部key;resetkeys表重置key的范围,后面可以看到,再操作get name, set name都正常了

后面再次运行ACL LIST,可以看到用户TEST的权限

~*          表key的范围是全部key

-@all    表没有任何命令集合的权限,但是后面的+@string表有命令集合string的权限

4. ACL SETUSER 用户名 -@命令集合名    给指定用户删除指定命令集合的权限

上面我们给用户TEST用户增加了命令集合string的权限,且已经成功了,下面再删除这个权限

操作如下

127.0.0.1:6379> ACL SETUSER TEST -@string
OK
127.0.0.1:6379> ACL LIST
1) "user TEST on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* resetchannels -@all"
2) "user default on nopass ~* &* +@all"
127.0.0.1:6379> 
127.0.0.1:6379> AUTH TEST 123456
OK
127.0.0.1:6379> get name
(error) NOPERM this user has no permissions to run the 'get' command
127.0.0.1:6379> set name 123
(error) NOPERM this user has no permissions to run the 'set' command

特别注意第一行命令    ACL SETUSER TEST -@string

意思是给用户TEST删除命令集合string的权限,删除后我们执行ACL LIST 查看权限,发现TEST用户的权限已经变成-@all    也就是刚才的+@string已经消失了。后面的命令切换到用户TEST后,验证 get ,set 命令确实已经没有权限了

5. ACL SETUSER 用户名+子命令 增加子命令的权限,ACL SETUSER 用户名 -子命令 删除子命令的权限

很多时候,一个大的命令集合权限也太大了,我们可能只想给指定用户添加个别子命令的权限,比如get,hget,hlen,ttl等命令,这些是只读的,且运行效率极高,比较安全。

此时可以通过 +子命令 的方式来实现,格式: ACL SETUSER 用户名 +xxxx    操作如下

127.0.0.1:6379> ACL LIST
1) "user TEST on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* resetchannels -@all"
2) "user default on nopass ~* &* +@all"
127.0.0.1:6379> 
127.0.0.1:6379> ACL SETUSER TEST +get +hgetall +hlen
OK
127.0.0.1:6379> ACL LIST
1) "user TEST on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* resetchannels -@all +hlen +get +hgetall"
2) "user default on nopass ~* &* +@all"

注意增加子命令权限的写法:ACL SETUSER TEST +get +hgetall +hlen    各个子命令中间有个空格,通过 ACL LIST 也可以看到TEST的权限增加了hlen, get, hgetall这些

另起一个终端,认证TEST用户后使用get命令,如下

127.0.0.1:6379> AUTH TEST 123456
OK
127.0.0.1:6379> get name
(nil)
127.0.0.1:6379> get val
(nil)
127.0.0.1:6379> 
127.0.0.1:6379> set name xiaoming
(error) NOPERM this user has no permissions to run the 'set' command

可以看到get命令已经可以了,但是set命令不行。

有时候我们给一般用户的权限太大了也不安全。如果想禁用一些危险的命令,可以通过 -@xxxx直接禁用掉某些危险集合的权限,也可以通过 -xxxx 禁用掉某些子命令的权限

禁用掉子命令的格式: ACL SETUSER 用户名 -xxxx    操作如下

127.0.0.1:6379> ACL SETUSER TEST -flushall -flushdb
OK
127.0.0.1:6379> AUTH TEST 123456
OK
127.0.0.1:6379> flushall
(error) NOPERM this user has no permissions to run the 'flushall' command

可以看到,执行禁用子命令后,切换到TEST用户后,flushall, flushdb的权限已经被禁用了

前面讲的+@xxx,-@xxx, +xxx, -xxx 讲的是增加删除命令集合的权限,增加删除子命令的权限,这些权限的key范围都是~*,也就是全部的key。这个时候依然不安全,因为有些时候为了防止泄密,我们只想让用户拥有个别key的操作权限,此时不仅要限制用户可用的命令集合或子命令,还要限制key的范围

比如我们想让用户 TEST 只对以 testget: 开头的这些 key 有权限,可以像下面这样设置

127.0.0.1:6379> ACL SETUSER TEST resetkeys ~testget:*
OK
127.0.0.1:6379> 

主要注意的是设置命令中的resetkeys,这个表示重置key的范围,如果没有resetkeys,属于追加

设置后,再运行上面的get测试,如下

127.0.0.1:6379> get name
(error) NOPERM this user has no permissions to access one of the keys used as arguments
127.0.0.1:6379> 
127.0.0.1:6379> get val
(error) NOPERM this user has no permissions to access one of the keys used as arguments
127.0.0.1:6379> 
127.0.0.1:6379> get testget:1
(nil)

设置后,TEST用户get其他key时会被提示没有权限,只有get以testget:开头的key时才可以成功

6. 多个复杂权限叠加的示例

给用户user1设置权限规则如下

规则a:对所有的key拥有ttl, exists, get, hget, hmget,zcard 这些只读权限

规则b:对以OnlySet:开头的key拥有 set hset 这些只写权限

规则c:对以User1:开头的key拥有全部权限

规则d:禁用掉命令集合dangerous, admin

这种情况该怎么设置呢,请看

127.0.0.1:6379> ACL LIST
1) "user default on nopass ~* &* +@all"
127.0.0.1:6379> ACL SETUSER user1 on >123456
OK
127.0.0.1:6379> ACL SETUSER user1 (~* +ttl +exists +get +hget +hmget +zcard) (~OnlySet:* +set +hset)
OK
127.0.0.1:6379> ACL SETUSER user1 ~User1:* +@all
OK
127.0.0.1:6379> ACL SETUSER user1 -@dangerous -@admin
OK
127.0.0.1:6379> ACL LIST
1) "user default on nopass ~* &* +@all"
2) "user user1 on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~User1:* resetchannels +@all -@dangerous (~* resetchannels -@all +zcard +hget +exists +hmget +get +ttl) (~OnlySet:* resetchannels -@all +set +hset)"

第一个命令    ACL LIST    查看ACL权限,当前仅有一个default用户

第二个命令    ACL SETUSER user1 on >123456    新建一个user1用户,启用,密码是123456

第三个命令    ACL SETUSER user1 (~* +ttl +exists +get +hget +hmget +zcard) (~OnlySet:* +set +hset)    的意思是给用户user1添加了2个权限,不同权限用()分隔开。第一个(~* +ttl +exists +get +hget +hmget +zcard)   表给所有的key增加子命令ttl  exists  get  hget  hmget  zcard这些权限,即规则a   第二个(~OnlySet:* +set +hset)    表给所有以OnlySet:开头的key增加set, hset权限,即规则b

第四个命令    ACL SETUSER user1 ~User1:* +@all    的意思是对所有以User1:开头的key增加所有权限,即规则c

第五个命令    ACL SETUSER user1 -@dangerous -@admin    给用户user1删除命令集合 dangerous    admin的权限,即规则d

第六个命令    ACL LIST    再次查看ACL权限,可以看到现在user1已经有了,设置的权限也都已经生效了

好了,我们再开一个redis终端,登陆用户user1后进行验证

YZF_Kevin
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis 6.0 后 ACL 使用
余农场主
05-30 589
我们来看一下默认刚初始化的 users.acl配置文件中,是用户的一个集合。每个用户都占一行。下面来分析一下这个rule由着七段组成。这五个就叫rule。RULE 就是限制用户行为的规则。下面来解释一下上面no 用户开启,如果设置为 off 说明用户被禁用nopass 用户不设置密码。~* 允许对所有的 key 进行操作&* 允许对所有的 channel 进行 Pub/Sub+@all 这里我们可以通过ACL CAT来看所有的分类,+@类似于一个组,这个组里面可以支持哪一些。
一文搞懂redis用户权限管理ACL)功能
cj_eryue的博客
06-26 6701
Redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作。如果想禁用某些不安全的命令,比如flushdb,flushall,只能通过rename-command的方式来避免。redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令,可访问的key等。
ACL CAT [categoryname]
BLOG域名:programb.blog.csdn.net
04-29 235
ACL CAT [categoryname] Available since 6.0.0. Time complexity: O(1) since the categories and commands are a fixed set. The command shows the available ACL categories if called without arguments. If a ...
Redis6.0 新功能
长期更新Java自学笔记
07-01 2391
Redis ACL 是 Access Control List(访问控制列表)的缩写,该功能允许根据可以执行的命令和可以访问的键来限制某些连接在 Redis 5 版本之前,Redis 安全规则只有密码控制 还有通过 rename 来调整高危命令比如 flushdb,KEYS* ,shutdown 等。Redis 6 则提供 ACL 的功能对用户进行更细粒度的权限控制 : (1)接入权限:用户名和密码 (2)可以执行的命令 (3)可以操作的 KEY参考官网:https://redis.io/topics/ac
redis--21--ACL
zhou920786312的博客
02-17 226
redis–21–ACL 1、简介 Redis ACL是Access Control List(访问控制列表)的缩写。 用于权限控制 接入权限:用户名和密码 可以执行的命令 可以操作的 KEY 参考官网:https://redis.io/topics/acl 2、命令 2.1、acl list 展现用户权限列表 192.168.187.138:6379> acl list 1) "user default on nopass ~* &* +@all" 192.168.187.138:
redis用户权限管理 - ACL详解第一篇
papaya的博客
12-26 3693
redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令和可访问的数据。
Redis 技术探索】「安全实战系列」带你认识一下Redis权限控制机制ACL(访问控制列表)是什么
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
01-08 1171
下面是有效的ACL规则列表。某些规则只是单个单词,用于激活或删除标志,或执行对用户ACL的给定更改。其他规则是与命令或类别名称、键模式等连接在一起的字符前缀。+: 将该命令添加到用户可以调用的命令列表中。可以与一起使用,允许子命令(例如“+config | get”)。-: 将该命令移到用户可以调用的命令列表中。从Redis 7.0开始,它可以与|一起用于阻塞子命令(例如“-config|set”)。: 添加该类别中所有用户调用的命令,有效类别为@admin@set。
Redis稳定版 Redis-x64-5.0.14.1.zip
07-21
7. **内存管理**: Redis的设计目标是在内存中存储所有数据,因此对内存管理十分重视。通过使用LRU(Least Recently Used)策略进行淘汰,保证在内存不足时能有效利用内存。 8. **并发控制**: Redis使用单线程模型...
Redis-x64-5.0.14.msi和Redis-x64-5.0.14.zip
12-20
总的来说,`Redis-x64-5.0.14.msi`适合快速部署和简单管理,而`Redis-x64-5.0.14.zip`适合有特殊需求或熟悉Redis配置的用户。无论哪种方式,都能让开发者在Windows环境中充分利用Redis的强大功能。
Redis及其管理工具:Redis-x64-5.0.14.1、RESP-app
11-03
描述中提到的“RESP_app”是一个Redis响应协议(REdis Simple String Protocol)的应用程序,可能是一个图形用户界面(GUI)工具,用于管理和操作Redis服务器。RESP是Redis默认的通信协议,它使得客户端与服务器之间...
Redis管理工具redisplus-3.2.0-win-x86_64
07-01
RedisPlus是为Redis可视化管理开发的一款开源免费的桌面客户端软件,支持Windows 、Linux、Mac三大系统平台,RedisPlus提供更加高效、方便、快捷的使用体验,有着更加现代化的用户界面风格。该软件支持单机、集群...
redis-stack-server 7.2.0 安装包合集
最新发布
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
Redis12】Redis基础:ACL与GEO命令
硬核项目经理
04-13 720
Redis基础学习:ACL与GEO命令标题说的可能不太清楚,ACL权限控制,GEO 是地理位置信息。是不是感觉高大上又很好玩?ACL 是新东西,Redis6 之后才出来的,而 GEO 相关的功能就比较早了,Redis3.2 版本的时候就已经有了。那么我们就一个一个的来看看吧。ACLACL 的全称是 Access Control List ,也就是 访问控制列表 的意思,在权限这块还有 RBAC...
Redis 6.0+ 的 ACL 机制
RAB
04-19 1148
Redis 6.0+ 的 ACL 机制。
Redis 6.0访问控制列表(ACL
middleware2018的博客
09-30 1714
来源:redis.io 翻译:Wen Hui 转载:中间件小哥 Redis访问控制列表(ACL),是一项可以实现限制特定客户端连接可执行命令和键访问的功能,它的工作方式是:客户端连接服务器以后,客户端需要提供用户名和密码用于验证身份:如果验证成功,客户端连接会关联特定用户以及用户相应的权限Redis可以配置新的客户端连接自动使用default用户进行验证(默认选项),因此配置default用户权限 会使没有验证的客户端只能使用一小部分功能。 Redis 6版本(第一个支持ACL的版本)的默认配置
Redis6 系列十二 Redis6.0新功能
qq_32265203的博客
05-11 290
1.Redis6.0新功能 1.1.ACL 1.1.1.简介 Redis ACL是Access Control List(访问控制列表)的缩写,该功能允许根据可以执行的命令和可以访问的键来限制某些连接。 在Redis 5版本之前,Redis安全规则只有密码控制还有通过rename来调整高危命令比如flushdb,KEYS*,shutdown等。Redis 6则提供ACL的功能对用户进行更细粒度的权限控制: (1)接入权限:用户名和密码 (2)可以执行的命...
关于项目启动NOPERM this user has no permissions to run the config SET command报错问题排查
weixin_38682092的博客
08-17 1194
最近项目整体迁移到百度云,其中redis也是直接用的百度云的提供云服务,项目中有用到redis,之前本地环境项目启动都是ok,但是迁移到百度云后,启动项目,就报NOPERM this user has no permissions to run the config SET command,这个错误意思就是用户没有对config set 这个命令有操作权限,百度云用的是redis6.0,redis6.0是提供了更为细致的权限控制粒度,不仅支持用户名,密码,还有命令。
17、Redis6.0新功能
希望有点用
12-11 430
Redis6.0新功能
"Redis命令大全详解-超详细教程
Redis命令大全是一篇超详细教程,它包括了Redis的基本命令及常识、Key值命令、String(字符串)类型命令、Hash(哈希表)类型命令、List(集合)类型命令、Set(无序集合)类型命令、SortedSet(有序集合)类型命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值