問(wèn)問(wèn)PostgreSQL的登錄過(guò)程。

fender0107401

首先有個(gè)疑問(wèn)就是pg_hba.conf這個(gè)文件。

我的理解是這個(gè)文件基本上算是一個(gè)PostgreSQL自帶的防火墻，可以對(duì)ip、用戶(hù)名、數(shù)據(jù)庫(kù)以及認(rèn)證方式進(jìn)行限制。

如果一個(gè)用戶(hù)連接數(shù)據(jù)庫(kù)，那么 這個(gè)用戶(hù)的客戶(hù)端程序應(yīng)該是先通過(guò)pg_hba.conf這個(gè)文件。

如果數(shù)據(jù)庫(kù)的管理員創(chuàng)建role的時(shí)候，設(shè)定了用戶(hù)的密碼，那么這個(gè)密碼應(yīng)該是md5（我猜測(cè)的，沒(méi)找到具體文檔）存在數(shù)據(jù)庫(kù)內(nèi)部。

如果一個(gè)用戶(hù)連接數(shù)據(jù)庫(kù)，并且通過(guò)了pg_hba.conf文件的認(rèn)證

問(wèn)題1：假設(shè)pg_hba.conf文件里面設(shè)定的是password，那么會(huì)發(fā)生什么？用戶(hù)的用戶(hù)名和密碼直接交給數(shù)據(jù)庫(kù)服務(wù)器進(jìn)程？然后校驗(yàn)？

問(wèn)題2：假設(shè)pg_hba.conf文件里面設(shè)定的是md5，那么會(huì)發(fā)生什么？難道直接就把密碼給翻譯成md5之后的密文了嗎？然后交給數(shù)據(jù)庫(kù)服務(wù)器進(jìn)程進(jìn)行校驗(yàn)？

問(wèn)題3：pg_hba.conf文件里面的password和md5選項(xiàng)應(yīng)該不會(huì)影響到數(shù)據(jù)庫(kù)里面保存密碼的具體方式吧（我猜是md5加密后的密文）。

先問(wèn)這么多，開(kāi)始認(rèn)真學(xué)PostgreSQL了。

之前發(fā)現(xiàn)PostgreSQL支持好多數(shù)據(jù)類(lèi)型，感覺(jué)很牛逼，現(xiàn)在仔細(xì)學(xué)學(xué)，感覺(jué)更牛逼了。

fender0107401

如果使用其他認(rèn)證方式，不使用password和md5，那么是如何確認(rèn)用戶(hù)身份的呢？

誰(shuí)來(lái)指點(diǎn)一下大致的流程，感激不盡。

gvim

3336901加群

fender0107401

回復(fù) 3# gvim

QQ群？好，我有空試試。


   

yueliangdao0608

gvim 發(fā)表于 2013-08-29 12:09
3336901加群

已加。

OwnWaterloo

Start-up

To begin a session, a frontend opens a connection to the server and sends a startup message. This message includes the names of the user and of the database the user wants to connect to; it also identifies the particular protocol version to be used. (Optionally, the startup message can include additional settings for run-time parameters.)

連接一開(kāi)始只發(fā)送了用戶(hù)名和數(shù)據(jù)庫(kù)名，并沒(méi)有發(fā)送密碼。
client不能選擇認(rèn)證方式，也不知道密碼是否被需要（比如trust,peer,ident等等）。

The server then uses this information and the contents of its configuration files (such as pg_hba.conf) to determine whether the connection is provisionally acceptable, and what additional authentication is required (if any).

server根據(jù)這些信息以及配置來(lái)選擇是否需要認(rèn)證，以及應(yīng)該使用哪種認(rèn)證方式。

AuthenticationCleartextPassword
    The frontend must now send a PasswordMessage containing the password in clear-text form. If this is the correct password, the server responds with an AuthenticationOk, otherwise it responds with an ErrorResponse.
AuthenticationMD5Password
    The frontend must now send a PasswordMessage containing the password encrypted via MD5, using the 4-character salt specified in the AuthenticationMD5Password message. If this is the correct password, the server responds with an AuthenticationOk, otherwise it responds with an ErrorResponse.

于是server就可以查詢(xún)hba并根據(jù)md5或password發(fā)送不同的認(rèn)證請(qǐng)求（或者根本就不需要認(rèn)證請(qǐng)求）。
這時(shí)候client再選擇密碼傳輸?shù)姆绞健?br />
相關(guān)資料：
Password Authentication
Message Formats