没文档也要扒源码让 ShardingSphere 支持 openGauss SCRAM 前端认证

最新推荐文章于 2024-11-22 12:53:12 发布
原创 最新推荐文章于 2024-11-22 12:53:12 发布 · 577 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #apache #openGauss #ShardingSphere

本文详述了在缺乏官方协议文档的情况下,通过阅读openGaussJDBCDriver源码,实现ShardingSphere openGauss Proxy对openGauss的SCRAM SHA-256前端认证的支持。从确定认证方式枚举值、解析数据包内容到调整校验逻辑,最终通过不同客户端验证实现的正确性,整个过程充满挑战与学习。

记录自己如何在没有协议文档的情况下,根据 openGauss JDBC Driver 源码,让 ShardingSphere openGauss Proxy 支持 openGauss 的 SCRAM SHA-256 前端认证机制。

文章目录

前言

目标:让 ShardingSphere openGauss Proxy 支持以 SCRAM SHA-256 机制验证 openGauss 客户端的身份。

最近在做一个和 ShardingSphere Proxy openGauss 前端认证方式相关的 issue ShardingSphere openGauss Proxy supports sha256 authentication method #13995
PostgreSQL 有一种前端认证方式是 MD5 Password。客户端根据服务端提供的 salt 对密码进行 MD5 加密并发送,完成认证过程。
openGauss 觉得 MD5 不安全,前端认证推荐并默认使用 SHA-256
虽然说是 SHA-256 认证,听起来就是与 PostgreSQL 的 MD5 认证大同小异,只是摘要的长度不一样,后来做起来才发现完全不是这样。openGauss 用的是 SCRAM,其中的哈希算法可以使用 SHA-256 或者国密算法。
在做这个 issue 之前,我不了解 SCRAM,其他安全相关知识也了解不深,实现过程也是费了一些心思。

环境准备

openGauss 数据库与客户端

本文所使用的 openGauss 数据库及 gsql (前身就是 psql)均使用 Docker Image enmotech/opengauss:2.1.0

openGauss JDBC Driver 使用 org.opengauss:opengauss-jdbc:2.0.1-compatibility

<dependency>
    <groupId>org.opengauss</groupId>
    <artifactId>opengauss-jdbc</artifactId>
    <version>2.0.1-compatibility</version>
</dependency>

openGauss 服务端配置

enmotech/opengauss:2.1.0 默认使用了 MD5 认证方式,需要修改各项配置为 sha256 并新建用户。

postgresql.conf 需要配置:

password_encryption_type = 2

pg_hba.conf 需要配置:

host all all 0.0.0.0/0 sha256

配置完成后需要重启或执行 gs_ctl reload 生效。

最后创建一个新用户:

CREATE USER wuweijie PASSWORD 'Wuweijie@123';

没有文档?扒源码去扒一下客户端源码看看是怎么做的。

确定 SHA-256 认证方式的枚举值

openGauss 不像 PostgreSQL 那样有比较完善的协议文档,包括本次要做的 SCRAM SHA-256 前端认证,openGauss 官网也只有配置相关的说明,如何实现没有指导文档。
没有文档怎么办?就像之前实现 openGauss 批量插入协议实现一样,看一下客户端是怎么做的。

https://gitee.com/opengauss/openGauss-connector-jdbc/blob/master/pgjdbc/src/main/java/org/postgresql/core/v3/ConnectionFactoryImpl.java#L63

  private static final int AUTH_REQ_MD5 = 5;
  // 省略部分代码...
  private static final int AUTH_REQ_SHA256 = 10;

PostgreSQL MD5 认证方式的枚举值为 5,openGauss 所增加的 SHA-256 认证方式枚举值为 10。

确定 Auth Request 数据包的内容

https://gitee.com/opengauss/openGauss-connector-jdbc/blob/master/pgjdbc/src/main/java/org/postgresql/core/v3/ConnectionFactoryImpl.java#L668

openGauss JDBC Driver 认证相关关键逻辑节选及本文注释说明:

              case AUTH_REQ_SHA256: {
   
   
                  // 省略部分代码...
                  byte[] digest;
                  int passwordStoredMethod = pgStream.receiveInteger4();
                  // 省略部分代码...
                  if (passwordStoredMethod == PLAIN_PASSWORD || passwordStoredMethod == SHA256_PASSWORD) {
   
   
                      String random64code = pgStream.receiveString(64);
                      String token = pgStream.receiveString(8);
                      byte[] result = null;
                      // 由于 openGauss 最新的客户端都使用 3.51 的协议版本,以下分支只需关心最后的 else
                      if (this.protocolVerion < PROTOCOL_VERSION_350) {
   
   
						  // 省略部分代码...
                      } else if (this.protocolVerion == PROTOCOL_VERSION_350) {
   
   
						  // 省略部分代码...
                      }
最低0.47元/天 解锁文章
【Kafka】Kafka 配置 SCRAM认证
九师兄
08-08 2711
PLAIN认证有个问题,就是不能动态新增用户,每次添加用户后,需要重启正在运行的Kafka集群才能生效。为此,在生产环境,这种认证方式不符合实际业务场景。而SCRAM不一样,使用SCRAM认证,可以动态新增用户,添加用户后,可以不用重启正在运行的Kafka集群即可进行鉴权。 本篇文档中使用的是自己部署的zookeeper, zookeeper无需做任何特殊配置 1.准备 使用SASL / SCRAM进行身份验证,请先在不配置任何身份验证的情况下启动Kafka 2.创建SCRAM Credentials.
openGauss学习笔记-115 openGauss 数据库管理-设置安全策略-设置密码安全策略
超哥的博客
11-05 1827
用户密码存储在系统表pg_authid中,为防止用户密码泄露,openGauss对用户密码进行加密存储,所采用的加密算法由配置参数password_encryption_type决定。
openGauss X ShardingSphere,分布式方案的另一种最佳实践
SphereEX的博客
09-15 282
Apache ShardingSphere 持续助力于 openGauss 分布式数据库能力的构建。openGauss 数据库自 2020 年 6 月开源以来,受到了业界的广泛关注,现已吸引众多伙伴、开发者参与其中,共建繁荣的数据库生态。面对如今海量数据,超高并发等诸多场景,openGauss 将目光转向于分布式解决方案,专注于解决海量数据存储、超高并发吞吐、大表瓶颈等众多难题,与ShardingSphere 一起构建全栈开源分布式解决方案,实现 openGauss 的又一大突破。 分布式解决方案 .
ShardingSphere X openGauss
2401_83143557的博客
03-20 899
后端模块实现了对这些数据库协议、SQL 语法的支持,考虑到 Proxy 本身不会对 SQL 进行计算(只会处理少量需要聚合计算的结果),因此 Proxy 不需要完全解析并理解 SQL 语法,而是对其采取了半理解的解析方式,依赖 antrl 实现语法解析,然后遍历 TOKEN 取出分片算法关心的 TOKEN(如 where 条件等),根据分片算法改写 SQL 并路由到对应的数据库,在所有结果返回后进行合并并处理,最后将结果返回给请求的客户端。社区官网对于 ShardingSphere 的定义。
JDBC使用及源码编译
weixin_53596073的博客
03-21 2132
1. JDBC简介 JDBC是Java DataBase Connectivity的缩写,它是Java程序访问数据库的标准接口。 JDBC接口是Java标准库自带的,具体的JDBC驱动是由数据库厂商提供的,JDBC驱动也是由Java语言编写的,为一个jar包,真正实现JDBC接口中的类。 openGauss数据库源自postgres,openGauss JDBC以PostgreSQL JDBC Driver 42.2.5为基准,适配openGauss数据库,增加新特性。
ShardingSphere实现openGauss分布式架构
qq961573863的博客
02-05 2257
ZooKeeper 是一个分布式协调服务 ,由 Apache 进行维护。ZooKeeper 可以视为一个高可用的文件系统。ZooKeeper 可以用于发布/订阅、负载均衡、命令服务、分布式协调/通知、集群管理、Master 选举、分布式锁和分布式队列等功能。ShardingSphere-proxy(以下简称为"proxy")定位为透明化的数据库代理端,提供封装了数据库二进制协议的服务端版本,用于完成对异构语言的支持
Kafka 基于SASL/SCRAM动态认证部署,kafka加账号密码登录部署
u010398650的博客
09-14 1050
其实挺简单的几个配置文件,问大模型一直说到点上,绕晕了。SASL/SCRAM认证涉及到要先在zookeeper上创建好认证信息,最后慢慢捋下来,其实就这么几个配置和命令。
基于 SASL/SCRAM 让 Kafka 实现动态授权认证
zlt2000的博客
07-29 1079
本文将从零开始部署ZooKeeper和Kafka并通过配置SASL/SCRAM和ACL(访问控制列表)来增强Kafka的安全性
opengauss java驱动包
06-07
opengauss java驱动包
openGauss+shardingsphere-5.5.1简单实例
最新发布
Florence0405的博客
11-22 1446
本文记录了苯人在使用chatgpt进行了分布式数据库实验的一些过程,照着下面的代码能把服务跑起来,但不带基础知识(比如yaml配置文件里每一行、每个设置是什么意思(因为我也不会XD))。本文中记录的并不是唯一实现的方法,也可能有隐藏的bug在,但是我暂时还遇到,仅供参考。p.s. openEuler虚拟机是之前杨老师发的!————————————all copyright reserved to 飞行员—————————————
如何利用ShardingSphere-proxy搭建openGauss分布式环境
weixin_53596073的博客
03-14 1174
一.ShardingSphere-proxy简介 ShardingSphere-proxy(以下简称为"proxy")定位为透明化的数据库代理端,提供封装了数据库二进制协议的服务端版本,用于完成对异构语言的支持。 proxy实现分布式的核心原理是,使用netty捕获客户端(gsql或jdbc)的sql语句,通过抽象语法树解析sql,根据配置的分库分片规则,改写sql语句,使其路由到对应的数据库上并聚合多个sql的返回结果,再将结果通过netty返回给客户端,这样就完成了分库分片的全流程,如下图示:
梦幻联动-MogDB/openGaussShardingSphere在TPC-C上的表现(一)
迷失蒲公英
04-01 330
MogDB是云和恩墨基于openGauss开源数据库的内核进行研发,推出的一款极致易用的企业级关系型数据库。MogDB具备金融级高可用和全密态计算的极致安全、面向多核处理器的极致性能、AI自诊断调优的极致智能能力,能够满足从核心交易到复杂计算的企业级业务需求。云和恩墨致力于发挥全栈产品加服务的企业优势,优先支持鲲鹏算力,在 MogDB 的运行平台、管理工具、SQL审核和运维服务等方向推出整体解决方案,为用户提供可信赖的企业级产品和服务,为 openGauss 的开源生态持续贡献力量。
Kafka动态认证SASL/SCRAM验证
eternally_zh128@sina.com的博客
06-04 2320
一、目的 配置SASL/PLAIN验证,实现了对Kafka的权限控制。但SASL/PLAIN验证有一个问题:只能在JAAS文件KafkaServer中配置用户,一但Kafka启动,无法动态新增用户。SASL/SCRAM验证可以动态新增用户并分配权限 1.1启动Zookeeper和Kafka 版本:kafka_2.12-2.7.0.tgz 此方法是把凭证(credential)存储在Zookeeper,可以使用kafka-configs.sh在Zookeeper中创建凭据。对于每个SCRAM机制,必须添加具有
数据库实验九--OpenGauss(使用JDBC连接数据库)
热门推荐
CK_0ff的博客
05-19 1万+
(一)实验目的: 了解如何使用JDBC连接数据库。JDBC(Java Database Connectivity,Java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问接口,应用程序可基于它操作数据。openGauss库提供了对JDBC 4.0特性的支持,需要使用JDK1.8版本编译程序代码。 (二)实验内容: 1. 在openGauss中创建数据库、表; 2. 使用jdbc连接到新创建的数据库; 3.在java程序中改变数据库中的值或者输出数据库中的值;
数据库GaussDB实例安装内核插件失败处理步骤
Cui_Yuan_666的博客
09-19 941
查看/home/Ruby/log/agent.log文件,如果日志文件中包含“download succeeded, but the sha256 integrity check failed ”,则为sha256校验不通过,使用正确的sha256字符串重新下发。通过InstallKernelPluginJob任务,找升级命令下发节点的NODE_ID。单击“树表”,则可以查看任务失败具体的环节。GaussDB Kernel组件下的:/var/lib/log/Ruby。:用户的实例或节点状态异常。
openGauss支持国密SM3和SM4算法
Cui_Yuan_666的博客
11-09 1423
openGauss自2.0.0版本支持了国密算法,主要包括用户认证支持国密SM3算法,支持利用国密SM4算法对数据进行加解密。
PostgreSQL安全修葺
多米爸比的专栏
04-07 2775
对PostgreSQL安全特性重新翻修,加强警戒。
解决华为openGauss驱动包中SCRAM机制问题的方案
华为的openGauss是一个开源的关系型数据库系统,由华为公司主导开发,设计之初就强调高性能...开发者在面对驱动包相关问题时,应当查看openGauss文档支持,获取最新的驱动版本,以及对SCRAM等安全配置进行适当调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wuweijie@apache.org

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值