Redis是一种高性能的内存键值数据库,广泛应用于缓存、消息队列等场景。为确保安全,Redis默认已开启账户鉴权功能,保护Redis免受恶意访问。
Redis账户鉴权功能会校验客户端发出的redis命令的账户密码,若账户密码不正确,则会将命令拒绝。为默认情况下,Redis以禁止所有人访问为默认情况,确保Redis安全。
Redis默认账户鉴权除了让用户输入密码,还采用非对称加密传输密码,以防止中间人攻击。另外,Redis客户端在接收到非法的认证信息时,也会立即断开连接。
此外,Redis的账户鉴权也提供了安装忘记密码的功能,当用户忘记密码时,只需要运行重新设置密码的命令即可,Redis会提示用户输入新的密码,之后便可访问Redis数据库。
以下是示例代码:
# 创建一个新的Redis连接
import redis
conn = redis.Redis(host=’192.168.100.100′, port=6379, password=”Redis@Password2019″)
# 设置新密码
conn.config.set(“requirepass”, “MyNewPassword123”)
香港服务器首选树叶云,2H2G首月10元开通。树叶云(shuyeidc.com)提供简单好用,价格厚道的香港/美国云 服务器 和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。
四种常用鉴权方式
由于http 协议是一种无状态的协议,服务器端并不知道客户端的那一头是谁在请求服务器。 而且服务器上的资源不一定是对所有人开放,所以需要进行用户对登录鉴权。 目前,我们在开发中主要使用过4 种鉴权方式。
这种授权方式是浏览器遵守http协议实现的基本授权方式。
优点基本上所有流行的网页浏览器都支持基本认证。 基本认证很少在可公开访问的互联网网站上使用,有时候会在小的私有系统中使用(如路由器网页管理接口)。 后来的机制HTTP摘要认证是为替代基本认证而开发的,允许密钥以相对安全的方式在不安全的通道上传输。 程序员和系统管理员有时会在可信网络环境中使用基本认证,使用Telnet或其他明文网络协议工具手动地测试Web服务器。 这是一个麻烦的过程,但是网络上传输的内容是人可读的,以便进行诊断。
缺点虽然基本认证非常容易实现,但该方案创建在以下的假设的基础上,即:客户端和服务器主机之间的连接是安全可信的。 特别是,如果没有使用SSL/TLS这样的传输层安全的协议,那么以明文传输的密钥和口令很容易被拦截。 该方案也同样没有对服务器返回的信息提供保护。 现存的浏览器保存认证信息直到标签页或浏览器被关闭,或者用户清除历史记录。 HTTP没有为服务器提供一种方法指示客户端丢弃这些被缓存的密钥。 这意味着服务器端在用户不关闭浏览器的情况下,并没有一种有效的方法来让用户注销。
优缺点
session-cookie的缺点 (1)认证方式局限于在浏览器中使用, cookie是浏览器端的机制,如果在app端就无法使用cookie 。 (2)为了满足全局一致性,我们最好把session存储在redis中做持久化,而在分布式环境下,我们可能需要在每个服务器上都备份,占用了大量的存储空间。 (3)在不是Https协议下使用cookie,容易受到 CSRF 跨站点请求伪造攻击。
token 是一个令牌,当浏览器第一次访问服务端时会签发一张令牌,之后浏览器每次携带这张令牌访问服务端就会认证该令牌是否有效,只要服务端可以解密该令牌,就说明请求是合法的。 一般 token 由用户信息、时间戳和由 hash 算法加密的签名构成。
优点 : (1) token认证不局限于cookie,这样就使得这种认证方式可以支持多种客户端,而不仅是浏览器。 且不受同源策略的影响。 (2)不使用cookie就可以规避CSRF攻击。 (3) token不需要存储, token中已包含了用户信息,服务器端变成无状态,服务器端只需要根据定义的规则校验这个token是否合法就行。 这也使得token的可扩展性更强。
缺点 : (1)加密解密消耗使得token认证比session-cookie更消耗性能。 (2) token比sessionId大,更占带宽。
由于app没有浏览器无法存储cookie,故出现了OAuth,且允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全的。
redis性能测试工具有哪些?
redis-benchmark是一个用于测试Redis性能的压力测试工具。 在Redis安装完成后自动安装,位于Redis目录下,非Redis客户端指令。
使用格式为:redis-benchmark [OPTIONS] [COMMAND ARGS...]
选项包括:主机名、端口号、socket服务器、Redis验证密码、用户鉴权、Server URI、并发连接数、请求总数、数据大小、指定数据库编号、使用RESP3协议、启用多线程、启用集群模式、开始前发送客户端追踪、存活或重连选择、使用随机KEY、指定管道传输请求、强制退出Redis、输出小数位数、CSV格式输出、生成循环执行、指定测试列表、idle模式、从STDIN读取参数。
报告组成部分包括:ping请求、延迟百分比分布、延迟的累积分布、总述报告。
示例:在src目录下执行
《若依ruoyi》第九章:Ruoyi系统登录前后端代码详解
若依系统(Ruoyi)的登录过程展示了其前后端交互的细致设计。 权限管理是关键环节,包括过滤请求、自定义身份验证、密码加密解码以及处理认证失败和退出。 首先,认证鉴权流程不依赖于SpringBootSecurity或Shiro框架,而是通过用户输入用户名和密码,系统验证后生成token并存储在Redis中。 同时,用户角色和权限也同步存储,请求资源时,token转化为userId和userName传递,网关根据权限对比鉴权。 前端代码操作部分,定义了一个包含账号和密码输入的表单,验证后调用接口,登录成功后将token存入本地缓存。 后端代码则在TokenController的login方法中处理登录请求,通过FeignClient获取用户信息并存储到Redis,后续的请求会包含用户身份信息,由全局过滤器和自定义注解进行权限检查。 权限管理的核心功能包括hasPermi、lacksPermi等判断方法,检查用户是否具备特定权限或角色。 总的来说,Ruoyi系统通过精巧的架构实现了前后端分离的权限控制,确保了系统的安全性和用户体验。 对于求职者,尤其是Javaer和前端开发者,这个流程理解是提升技术面试竞争力的重要一步。
发表评论