海山数据库(He3DB)技术分享：客户端认证

客户端认证核心参数

1.pg_hba.conf 参数文件定义了允许哪些主机以什么样的方式连接到哪些数据库。主要参数如表1.1所示：
表1.1 pg_hba.conf 参数

名称	概述
type	连接类型，如 host（通过 TCP/IP 连接）、local（Unix 域套接字）、hostssl（仅通过 SSL 连接的 TCP/IP 连接）、hostnossl（非 SSL 的 TCP/IP 连接）。
database	目标数据库名称，可以是 all（所有数据库）、具体数据库名或多个数据库名。
user	用户名，可以是 all（所有用户）、具体用户名或多个用户名。
auth_method	认证方法（如 trust、password、md5、scram-sha-256、peer、cert）。
auth_option	认证选项（如 SSL 客户端证书要求）。
address	客户端 IP 地址或地址范围

核心结构体

1. Port 结构体，位于 src/include/libpq/be.h，保存客户端连接的信息。

typedef struct Port
   {
    pgsocket sock;   /*网络文件描述符，表示连接的套接字。 */
   bool  noblock;  /*套接字是否处于非阻塞模式。 */
   ProtocolVersion proto;  /* 使用的协议版本，指示前端和后端的协议版本。 */
   SockAddr laddr;   /* 本地地址，即服务器端的地址。 */
   SockAddr raddr;   /* 远程地址，即客户端的地址。 */
   char    *remote_host; /* 远程主机的名称或 IP 地址的文本表示。 */
   char    *remote_hostname; /*远程主机的主机名（如果可用） */
   int   remote_hostname_resolv; /* 远程主机名解析状态，可能包含解析的结果或状态码。*/
   int   remote_hostname_errcode; /* 远程主机名解析错误码，指示解析失败的原因。*/
   char    *remote_port; /* 远程端口的文本表示。 */
   CAC_state canAcceptConnections; /* 表示后端是否能接受连接的状态。 */
   char    *database_name;  /*数据库名称，客户端请求连接的数据库。*/
   char    *user_name;   /*用户名，客户端用来连接数据库的用户。*/
   char    *cmdline_options; /*命令行选项，启动连接时的额外参数。*/
   List    *guc_options; /*选项列表，用于配置的全局设置。*/
   char    *application_name; /*应用程序名称，客户端提供的应用名称。*/
   HbaLine    *hba; /*配置行，用于验证客户端的连接。*/
   const char *authn_id; /*身份验证标识符，用于跟踪身份验证状态。*/
   int   default_keepalives_idle;  /*默认的 TCP 保活空闲时间。*/
   int   default_keepalives_interval;  /*默认的 TCP 保活间隔时间。*/
   int   default_keepalives_count; /*默认的 TCP 保活重试次数。*/
   int   default_tcp_user_timeout; /*默认的 TCP 用户超时时间。*/
   int   keepalives_idle; /*当前设置的 TCP 保活空闲时间。*/
   int   keepalives_interval; /*当前设置的 TCP 保活间隔时间。*/
   int   keepalives_count; /*当前设置的 TCP 保活重试次数。*/
   int   tcp_user_timeout; /*当前设置的 TCP 用户超时时间。*/
   #if defined(ENABLE_GSS) || defined(ENABLE_SSPI) 
   pg_gssinfo *gss;
   #else
   void    *gss;
   #endif
   bool  ssl_in_use; /*表示是否使用了 SSL（安全套接字层）加密。*/
   char    *peer_cn; /*对等方的证书主题名（Common Name）。*/
   char    *peer_dn; /*对等方的证书主体名（Distinguished Name）。*/
   bool  peer_cert_valid; /*对等方证书是否有效。*/
   #ifdef USE_OPENSSL 
    SSL     *ssl;
    X509    *peer;
   #endif
   } Port;

2. HbaLine 结构体用于描述 PostgreSQL 的主机基于认证（HBA）配置中的一行。HBA 配置用于定义客户端如何连接到数据库以及如何进行身份验证。

typedef struct HbaLine
{
	int			linenumber; /*配置文件中该行的行号。*/
	char	   *rawline; /*原始的配置行文本，以字符串形式保存。*/
	ConnType	conntype; /*连接类型，例如本地连接、TCP/IP 连接等。*/
	List	   *databases; /*允许连接的数据库列表。如果为空，表示允许连接到所有数据库。*/
	List	   *roles; /* 允许连接的角色（用户）列表。如果为空，表示允许所有角色连接。*/
	struct sockaddr_storage addr; /*客户端 IP 地址，用于允许连接的来源地址。*/
	int			addrlen;		/*字段的有效长度，如果没有有效地址，则为零。 */
	struct sockaddr_storage mask; /*网络掩码，用于地址匹配。*/
	int			masklen;		/*字段的有效长度，如果没有有效掩码，则为零。 */
	IPCompareMethod ip_cmp_method;  /*IP 地址比较方法，指示如何处理地址匹配（例如精确匹配或子网匹配）。*/
	char	   *hostname; /*允许连接的主机名。*/
	UserAuth	auth_method;  /*认证方法，例如密码、Kerberos、LDAP 等。*/
	char	   *usermap; /*用户映射规则，用于将数据库用户映射到系统用户。*/
	char	   *pamservice; /*服务名称，如果使用 PAM 进行身份验证。*/
	bool		pam_use_hostname; /*如果为 true，则 PAM 身份验证使用主机名进行匹配。*/
	bool		ldaptls; /*如果为 true，则启用 LDAP 传输层安全（TLS）。*/
	char	   *ldapscheme; /*连接的协议方案（例如 ldap、ldaps）。*/
	char	   *ldapserver; /*LDAP 服务器的地址。*/
	int			ldapport; /*LDAP 服务器的端口。*/
	char	   *ldapbinddn; /*LDAP 绑定 DN（Distinguished Name），用于与 LDAP 服务器进行绑定的凭据。*/
	char	   *ldapbindpasswd; /*LDAP 绑定密码，用于绑定的凭据。*/
	char	   *ldapsearchattribute; /*LDAP 搜索属性，用于匹配用户。*/
	char	   *ldapsearchfilter; /*LDAP 搜索过滤器，用于过滤用户。*/
	char	   *ldapbasedn; /*LDAP 基础 DN，用于搜索的起始点。*/
	int			ldapscope; /*LDAP 搜索范围，例如 base、onelevel 或 sub。*/
	char	   *ldapprefix; /*LDAP 用户名前缀，用于拼接 LDAP 绑定 DN。*/
	char	   *ldapsuffix; /*LDAP 用户名后缀，用于拼接 LDAP 绑定 DN。*/
	ClientCertMode clientcert; /*客户端证书模式，定义客户端证书的验证方式。*/
	ClientCertName clientcertname; /*客户端证书名称，用于匹配客户端证书。*/
	char	   *krb_realm; /*Kerberos 领域名称，用于 Kerberos 认证。*/
	bool		include_realm; /*如果为 true，则包括领域名称进行匹配。*/
	bool		compat_realm; /*如果为 true，则启用领域名称兼容模式。*/
	bool		upn_username; /*如果为 true，则支持 UPN（User Principal Name）用户名格式。*/
	List	   *radiusservers; /*RADIUS 服务器列表，用于 RADIUS 认证。*/
	char	   *radiusservers_s; /*RADIUS 服务器的文本表示。*/
	List	   *radiussecrets; /*RADIUS 密码列表，用于与 RADIUS 服务器通信的密码。*/
	char	   *radiussecrets_s; /*RADIUS 密码的文本表示。*/
	List	   *radiusidentifiers; /*RADIUS 标识符列表，用于识别 RADIUS 服务器。*/
	char	   *radiusidentifiers_s; /*RADIUS 标识符的文本表示。*/
	List	   *radiusports; /*端口列表，用于 RADIUS 服务器的端口配置。*/
	char	   *radiusports_s; /*RADIUS 端口的文本表示。*/
} HbaLine;

客户端认证核心函数栈

1. PostmasterMain：实例的入口函数，负责初始化并启动数据库服务器。主要步骤包含：
   （1）初始化共享内存和信号处理。
   （2）解析命令行参数和配置文件。
   （3）创建各种子进程（如后台写进程、检查点进程等）。
   （4）进入主循环（ServerLoop）。
2. ServerLoop：处理来自客户端的连接请求并创建相应的后端进程。主要步骤包含：
   （1）监听新连接请求。
   （2）在接收到新连接时，创建后端进程处理该连接。
3. BackendStartup启动新的后端进程以处理客户端连接。主要步骤包含：
   （1）初始化后端进程环境。
   （2）进行用户身份验证（调用 ClientAuthentication）。
   （3）初始化会话和用户 ID（调用 Initpostgre）。
4. Initpostgre：初始化后端进程的基本环境，包括设置用户和数据库等。主要步骤包含：
   （1）初始化内存上下文。
   （2）设置会话用户和数据库。
   （3）加载系统配置。
5. ClientAuthentication：处理客户端的认证请求。
   （1）读取 pg_hba.conf 文件，加载认证规则（调用 load_hba）。
   （2）选择适当的认证方法并进行认证（调用 PerformAuthentication）。
6. CheckPasswordAuth：处理 MD5 密码认证。
   （1）验证客户端提供的密码。
   （2）返回认证结果。

核心函数栈如下：

PostmasterMain
  +--> ServerLoop
            +--> BackendStartup
                       +--> Initpostgres
                       |     +--> InitializeSessionUserId
                       +--> ClientAuthentication
                                    +--> load_hba
                                    +--> CheckPasswordAuth
                                    +--> CheckSCRAMAuth

客户端认证核心参数代码框架

代码框架