Michael Paquier:Postgres 16 亮点 - libpq 的 require_auth
💡
原文英文,约1100词,阅读约需4分钟。
📝
内容提要
Postgres 16新增了一个名为require_auth的连接参数,允许libpq客户端定义可接受的认证类型列表,以保护免受降级攻击。该功能可与环境变量PGREQUIREAUTH一起使用,并映射到相应的认证请求代码。
🎯
关键要点
- Postgres 16新增了require_auth连接参数,允许libpq客户端定义可接受的认证类型列表。
- require_auth参数与环境变量PGREQUIREAUTH一起使用,映射到相应的认证请求代码。
- 如果服务器未提供允许的认证请求,客户端连接尝试将失败。
- 该功能旨在防止降级攻击,libpq之前对降级攻击的保护不足。
- 支持的认证类型包括password、md5、gss、sspi、scram-sha-256和none。
- 可以通过在列表中前缀'!'来指定否定条目,但否定和正常条目不能混合。
- 特别情况'none'不映射到任何内部认证请求,客户端不应提示任何认证请求。
- 使用require_auth可以过滤掉配置为'trust'的服务器,但不适用于GSS加密和SSL。
➡️
