Redis ACL 规则说明

已于 2023-11-20 17:08:37 修改
阅读量841 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: DB/数据库 Cache缓存 文章标签: redis 数据库 缓存 acl 用户权限控制 权限隔离 权限安全
于 2023-11-20 17:05:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ChaITSimpleLove/article/details/134508854
本文详细解读了Redis的AccessControlList(ACL)功能,包括配置方式、规则定义、用户权限控制、命令操作和持久化策略。重点介绍了如何启用/禁用用户、设置命令权限和访问Key,以及关键的管理命令如ACLHELP、ACLCAT等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Redis ACL 规则说明

make great efforts

前情回顾

上一篇文章 我们整体性的介绍了 RedisACL,我们来回顾下 ACL 的两种配置方式。

redis 使用 acl 有两种方式可以配置,分别是 configaclfile 模式。在 config 配置文件中配置的 ACL 权限,需要执行 ACL LOAD 或者 重启 Redis 服务 才能生效,事实上我们可以直接在命令行下配置 ACL,在命令行模式下配置的权限无需重启服务即可生效。

我们也可以在命令行模式下配置 ACL 并将其持久化到 aclfile 或者 config 文件中(这取决于配置文件中选择的是 config模式 还是 外部 aclfile 模式),一旦将 user 权限持久化到 aclfileconfig 文件中,下次重启就会自动加载该权限,注意如果忘记持久化,一旦服务宕机或重启,该权限就会丢失。

# 如果使用 config 模式,将 ACL 权限持久化到 redis.conf 文件中使用下面的命令:
config rewrite
 
# 如果使用 aclfile 模式,将 ACL 权限持久化到 users.acl 文件中使用下面的命令:
acl save

说明:redis acl 是 redis v 6.0 扩展的 Auth 机制,因此要使用 acl 功能,redis 服务必须是 6.0 及其以上版本(redis version ≥ 6.0)。

ACL 定义规范

ACL 是使用 DSL(Domain specific language) 定义的,该 DSL 描述了用户能够执行的操作。该规则始终 从上到下,从左到右应用,因为规则的顺序对于理解用户的实际权限很重要。

ACL 规则可以在 redis.conf 文件以及 users.acl 文件中配置 DSL,也可以在命令行中通过 ACL 命令配置

接下来的我们细说 ACL 的规则以及命令描述。

启用和禁用用户

  • on:启用用户:可以以该用户身份进行认证。
  • off:禁用用户:不再可以使用此用户进行身份验证,但是已经通过身份验证的连接仍然可以使用。

允许和禁止调用命令

  • +<command>:将命令添加到用户可以调用的命令列表中。
  • -<command>:将命令从用户可以调用的命令列表中移除。
  • +@<category>:允许用户调用 <category> 类别中的所有命令,有效类别为 @admin,- @set,@sortedset 等,可通过调用 ACL CAT 命令查看完整列表。特殊类别 @all 表示所有命令,包括当前和未来版本中存在的所有命令。
  • -@<category>:禁止用户调用 <category> 类别中的所有命令。
  • +<command>|subcommand:允许使用已禁用命令的特定子命令。
  • allcommands:+@all 的别名。包括当前存在的命令以及将来通过模块加载的所有命令。
  • nocommands:-@all 的别名,禁止调用所有命令。

允许或禁止访问某些 Key

  • ~<pattern>:添加可以在命令中提及的键模式。例如 ~**allkeys 允许所有键。
  • *resetkeys:使用当前模式覆盖所有允许的模式。如:~foo:* ~bar:* resetkeys ~objects:* ,客户端只能访问匹配 object:* 模式的 KEY

为用户配置有效密码

  • ><password>:将此密码添加到用户的有效密码列表中。例如,>mypass“mypass” 添加到有效密码(采用 sha256 加密保存)列表中。该命令会清除用户的 nopass 标记。每个用户可以有任意数量的有效密码。
  • <<password>:从有效密码列表中删除此密码。若该用户的有效密码列表中没有此密码则会返回错误信息。
  • #<hash>:将此 SHA-256 哈希值添加到用户的有效密码列表中。该哈希值将与为 ACL 用户输入的密码的哈希值进行比较。允许用户将哈希存储在 users.acl 文件中,而不是存储明文密码。仅接受 SHA-256 哈希值,因为密码哈希必须为 64 个字符且小写的十六进制字符。
  • !<hash>:从有效密码列表中删除该哈希值。当不知道哈希值对应的明文是什么时很有用。
  • nopass:移除该用户已设置的所有密码,并将该用户标记为 nopass 无密码状态:任何密码都可以登录。resetpass 命令可以清除 nopass 这种状态。
  • resetpass:情况该用户的所有密码列表。而且移除 nopass 状态。resetpass 之后用户没有关联的密码同时也无法使用无密码登录,因此 resetpass 之后必须添加密码或改为nopass 状态才能正常登录。
  • reset:重置用户状态为初始状态。执行以下操作 resetpass,resetkeys,off,-@all

ACL 命令说明

  • ACL HELP,查看 ACL 帮助信息:
alc help

在这里插入图片描述

  • ACL CAT,查看命令类别,用于授权:
# 显示所有的命令类别。
ACL CAT
# 显示所有指定类别下的所有命令。 
ACL CAT <category>
  • ACL DELUSER,删除指定的用户:
# 删除指定的用户
acl deluser <username>
  • ACL DRYRUN,返回用户是否可以在不执行给定命令的情况下执行该命令:
acl dryrun <username> command
  • ACL GETUSER,使用下面的命令查看用户的 ACL 权限:
# 查看用户的 ACL 权限
acl getuser <username>
  • ACL GENPASS,生成一个安全的 256 位用户密码。可选的“位”参数可用于指定不同的大小:
# 删除指定的用户
acl genpass <username>
  • ACL LIST,我们可以使用 ACL LIST 命令来查看当前活动的 ACL,默认情况下,有一个 “default” 用户:
127.0.0.1:6379> acl list
1) "user default on nopass ~* +@all"

其中 user 为关键词,default 为用户名,后面的内容为 ACL规则 描述,on 表示活跃的,nopass 表示无密码, ~* 表示所有key,+@all 表示所有命令。

所以上面的命令表示活跃用户 default 无密码且可以访问所有命令以及所有数据。

  • ACL SETUSER,使用下面的命令创建或修改用户属性,username 区分大小写:
#username区分大小写
#若用户不存在则按默认规则创建用户,若存在则修改用户属性
SETUSER <username> [attribs ...]
 
#若用户不存在,则按默认规则创建用户。若用户存在则该命令不做任何操作。
ACL SETUSER <username> 
 
#若用户不存在,则按默认规则创建用户,并为其增加<rules>。若用户存在则在已有规则上增加 <rules>。
ACL SETUSER <username> <rules>
  • ACL USERS,返回所有用户名:
acl users
  • ACL WHOAMI,返回当前用户名:
acl whoami
  • ACL LOAD,我们也可以直接在 aclfile 中修改或新增 ACL 权限,修改之后不会立刻生效,我们可以在 redis 命令行中执行 acl load 将该 aclfile 中的权限加载至 redis 服务中:
# 将 aclfile 中的权限加载至 redis 服务中,是配置生效
acl load
  • ACL LOG,查看 ACL 安全日志:
acl log
  • ACL SAVE,前面提到过,我们可以使用 acl save 命令将当前服务器中的 ACL 权限持久化到 aclfile 中,如果没持久化就关闭 redis 服务,那些 ACL 权限就会丢失,因此我们每次授权之后一定要记得 ACL SAVEACL 权限持久化到 aclfile 中:
# 将 acl 权限持久化到磁盘的 aclfile 中
acl save

# 如果使用 redis.conf 配置 ACL,则使用 config rewrite 命令将 ACL 持久化到 redis.conf 中
config rewrite
  • AUTH,使用 auth 命令切换用户:
AUTH <username> <password>

以上就是关于 Redis ACL 命令的详细说明,你 “学废” 了么?

“只有每天不断学习,才能成长为更好的自己。” – 巨石强森(Dwayne Johnson)

Redis配置ACL用户+多权限管理【只读、读写、复制】+常用必备指令
作者的博客园已搬家到优快云,访问博客园主页将默认跳转至优快云
04-10 1580
Redis 6.0 中,引入了 ACL(Access Control List) 的支持,在此前的版本中 Redis 中是没有用户的概念的,其实没有办法很好的控制权限redis 6.0 开始支持用户,可以给每个用户分配不同的权限来控制权限;下面我们就来介绍一下 Redis 6.0 中的 ACL 的实际使用方法;
emqx5.0.6 开启redis认证,配置acl规则,离线监听(保姆级图文实战教程)
淘淘小窝
09-09 1435
emqx5.0.6 开启redis认证,配置acl规则,离线监听(保姆级图文实战教程)
自建 Redis 中设置 ACL 用户权限
Bertram的博客
02-13 1374
自建 Redis 中设置 ACL 用户权限
Redis 7.x 系列【36】访问控制表(ACL
记录知识、锤炼自我
08-06 2127
认证和访问控制是实现网络安全的重要措施,Redis 6 引入了ACL(Access Control List)访问控制列表功能,允许限制连接可以执行的命令和可以访问的键。
一文搞懂redis用户权限管理(ACL)功能
cj_eryue的博客
06-26 1万+
Redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作。如果想禁用某些不安全的命令,比如flushdb,flushall,只能通过rename-command的方式来避免。redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令,可访问的key等。
redis6新特性ACL(基于外部ACLFILE模式 )
weixin_44320761的博客
03-30 1573
redis6新出特性ACL(access control list 访问控制列表),类似MySQL中的用户授权特性,本篇ACL特性是基于外部aclfile模式,安装过程简单,docker或者编译安装亦可,以下是目前比较稳定的redis6下载地址。 https://download.redis.io/releases/redis-6.2.1.tar.gz
Redis 6.0+ 的 ACL 机制
RAB
04-19 1951
Redis 6.0+ 的 ACL 机制。
Redis部署全攻略——ACL访问控制(实现三权分立)
bbsxb520的博客
06-14 628
redis ACL的开启和使用,包括单机模式、主从模式、哨兵模式及集群模式的ACL的开启与配置。
Redis 6.0 后 ACL 使用
余农场主
05-30 868
我们来看一下默认刚初始化的 users.acl配置文件中,是用户的一个集合。每个用户都占一行。下面来分析一下这个rule由着七段组成。这五个就叫rule。RULE 就是限制用户行为的规则。下面来解释一下上面no 用户开启,如果设置为 off 说明用户被禁用nopass 用户不设置密码。~* 允许对所有的 key 进行操作&* 允许对所有的 channel 进行 Pub/Sub+@all 这里我们可以通过ACL CAT来看所有的分类,+@类似于一个组,这个组里面可以支持哪一些。
使用 Redis ACL 限制 HyperLogLog 命令:通过配置访 问控制列表(ACL),禁止用户执行 PFADD、PFCOUNT、 PFMERGE 等 HLL 相关命令。
最新发布
07-11
### 二、权限规则说明 | 规则 | 作用 | 必要性 | |---------------|-------------------------------|--------| | `-@all` | 清除默认权限 | 必需 | | `+@read` | 允许读操作(如 GET) | 可选 | | `+@write` | 允许...
Redis ACL权限认证
a971219108的博客
10-31 1466
ACL是Access Control List的缩写,该功能允许根据可以执行的命令和可以访问的键来限制某些连接ACL权限认证可以指定用户指定某些DB,取消高危操作等。这里只做ACL命令的权限DB和高危权限隔离。搭建请看另一篇文章。简单一个语法描述下DB隔离test : 用户名+@all :增加所有权限-@dangerous :取消该用户高危操作,如flushdb-select :取消select权限+select|8 :只能访问DB8。
redis acl
homesangsang的博客
01-13 1212
redis 安全访问控制本文基于redis版本进行测试验证。
redisacl使用方法详解
一点光辉的博客
07-04 580
Redis ACL(Access Control List)是 Redis 6.0 引入的安全机制,用于替代传统的单密码认证。它提供细粒度的权限控制,允许为不同用户分配不同命令、键空间的访问权限,增强数据安全性。# 复制默认用户权限到新用户 ACL SETUSER developer on > devpass reset +@all -@dangerous ~*权限说明:允许除危险命令外的所有操作。
Redis ACL安全策略详解
zzhongcy的专栏
11-03 1783
Redis6 之前的版本,我们只能使用 requirepass 参数给 default 用户配置登录密码,同一个 redis 集群的所有开发都共享 default 用户,难免会出现误操作把别人的 key 删掉或者数据泄露的情况。因此 Redis6 版本推出了 ACL(Access Controller List)访问控制权限的功能,基于此功能,我们可以设置多个用户,并且给每个用户单独设置命令权限和数据权限
Redis 访问控制列表(ACL)
ChaITSimpleLove的博客
11-18 1999
Redis 是一种高性能的缓存数据库,每秒可处理百万级的请求,如果没有很好的ACL控制,很可能会被暴力破解;在生产环境中,这是一种重大的安全影响因素,然而Redis 6.0扩展的Auth得以弥补这一隐患,助力安全生产。如果是新版本的,推荐大家尝试外部ACL file方式配置来管理用户访问控制权限Redis ACL用户管理方面,其中key的配置因为支持正则表达式,所以还能给出各种不同的表达式,这个正则表达式就推荐更多的小伙伴自行去尝试吧。
Redis Cluster 7.0 用户管理与ACLs权限控制
楼上别吵了,我想睡觉
02-08 2623
在内部,首先检查根权限,然后按照添加的顺序检查选择器。例如:某个用户ACL规则设置为+GET ~key1 (+SET ~key2),那么该用户可以执行。
redis 16 禁用重命名高危命令,ACL (对用户进行细粒度的权限控制、基于外部aclfile模式)
热门推荐
不是一枚开发
04-11 7万+
文章目录1.1 简介:1.2 命令 1.1 简介:   Redis ACL是Access Control List(访问控制列表)的缩写,该功能允许根据可以执行的命令和可以访问的键来限制某些连接。   在Redis 5版本之前,Redis 安全规则只有密码控制 还有通过rename 来调整高危命令比如 flushdb , KEYS * , shutdown 等。Redis 6 则提供ACL的功能对用户进行更细粒度的权限控制 : (1)接入权限:用户名和密码 (2)可以执行的命令 (3)可以操作的 KEY
Redis6新特性之ACL安全策略(用户权限管理)
会哭的雨@的博客
07-20 3906
介绍 在Redis6之前的版本,我们只能使用requirepass参数给default用户配置登录密码,同一个redis集群的所有开发都共享default用户,难免会出现误操作把别人的key删掉或者数据泄露的情况,那之前我们也可以使用rename command的方式给一些危险函数重命名或禁用,但是这样也防止不了自己的key被其他人访问。 因此Redis6版本推出了ACL(Access Control List)访问控制权限的功能,基于此功能,我们可以设置多个用户,并且给每个用户单独设置命令权限和数据权限
ACL GENPASS [bits]
BLOG域名:programb.blog.youkuaiyun.com
04-29 229
Available since 6.0.0. Time complexity: O(1) ACL users need a solid password in order to authenticate to the server without security risks. Such password does not need to be remembered by humans, but ...
acl_cpp redis
03-10
<think>好的,我现在需要帮助用户解决如何使用C++实现RedisACL权限控制。首先,我得确认用户的需求。用户提到了ACL和C++操作Redis,所以核心应该是如何在C++代码中应用RedisACL功能。 首先,我应该回顾一下RedisACL系统。根据引用[1]和[2],ACL是从Redis 6开始详细支持的,允许对用户进行细粒度的权限控制,比如限制可以执行的命令。用户可能需要在C++客户端中配置用户权限,比如认证、选择用户、执行命令等。 接下来,我需要考虑C++中常用的Redis客户端库。常见的有hiredisredis-plus-plus等。比如,redis-plus-plus是对hiredis的封装,可能更方便使用。用户需要先确保使用的库支持Redis 6的ACL命令,比如AUTH、ACL WHOAMI、ACL SETUSER等。 然后,我需要分步骤说明如何实现。首先,创建用户并设置权限,这可能在Redis服务端通过命令行完成,比如使用ACL SETUSER命令。然后在C++代码中,连接Redis时需要以特定用户身份进行认证,使用AUTH命令带上用户名和密码。例如,AUTH username password。 接着,需要考虑如何在代码中执行命令,并验证权限。比如,如果一个用户被禁止执行FLUSHDB,尝试执行时应该会收到错误。这时候需要在代码中处理异常或错误信息。 另外,用户可能需要动态修改权限,比如在运行时通过ACL SETUSER调整权限。这时候可以在C++代码中发送这些命令,但需要确保当前连接的用户权限执行ACL操作,通常需要管理员权限。 还要注意引用中的信息,比如引用[3]提到创建普通用户启动Redis,设置权限和目录归属,这可能影响客户端连接时的权限配置。引用[4]提到了配置文件中的requirepass,但ACL更灵活,可以针对不同用户设置不同密码和权限。 可能的实现步骤包括: 1. 在Redis服务端创建ACL用户,设置密码和权限。 2. 在C++代码中使用hiredisredis-plus-plus连接到Redis,使用AUTH进行认证。 3. 执行命令并处理权限相关的错误。 4. 可选:在代码中动态管理ACL规则,比如添加用户或修改权限。 需要验证各个步骤的正确性,比如确保库支持ACL命令,正确处理认证,以及错误处理机制。此外,可能还需要考虑连接池、异步操作等高级用法,但用户当前的问题可能集中在基础的ACL使用上。 最后,生成相关问题,比如如何创建用户,如何处理权限错误,动态调整权限的方法等。确保问题覆盖用户可能进一步探索的方向。</think>### 如何用 C++ 实现 RedisACL 权限控制 #### 1. 准备工作 - **Redis 版本要求**:确保 Redis 服务端版本 ≥ 6.0,ACL 功能需要 Redis 6+ 支持[^2]。 - **C++ 客户端库选择**:推荐使用支持 Redis 6 ACL 的库,如: - **hiredis**(官方 C 库,可通过封装实现) - **redis-plus-plus**(C++ 封装库,语法更友好) #### 2. 实现步骤 ##### (1) 服务端配置 ACL 用户 通过 Redis CLI 创建用户并设置权限(需管理员权限): ```bash # 创建用户 "cpp_user",密码为 "secret",仅允许 GET/SET 命令 ACL SETUSER cpp_user on >secret ~* &* +@read +@write -@all ``` ##### (2) C++ 代码实现认证与操作 以 **redis-plus-plus** 库为例: ```cpp #include <sw/redis++/redis++.h> using namespace sw::redis; int main() { try { // 连接时指定用户和密码 auto redis = Redis("tcp://127.0.0.1:6379", ConnectionOptions() .user("cpp_user") .password("secret")); // 执行允许的命令 redis.set("key", "value"); auto val = redis.get("key"); // 尝试执行未授权命令(会抛出异常) // redis.flushdb(); // 触发 NOPERM 错误 } catch (const Error &e) { // 捕获权限错误 if (e.what().find("NOPERM") != std::string::npos) { std::cerr << "Permission denied" << std::endl; } } return 0; } ``` #### 3. 关键 API 说明 | 操作 | 代码示例 | 说明 | |--------------------|----------------------------------|---------------------------------------| | 用户认证 | `ConnectionOptions().user().password()` | 连接时绑定用户身份[^1] | | 动态修改 ACL | `redis.command("ACL", "SETUSER", ...)` | 需当前用户有 `acl` 权限 | | 权限验证 | 捕获 `NOPERM` 异常 | 所有未授权操作会返回错误[^2] | #### 4. 权限管理建议 - **最小权限原则**:通过 `+<command>`/`-<command>` 精细化控制命令权限[^1] - **分类标签**:使用 `+@read`、`-@admin` 等预定义分类简化配置 - **密码存储**:避免硬编码密码,建议通过环境变量或配置文件读取
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ChaITSimpleLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值