Redis之配置只读账号

恒悦sunsite2026-02-01 18:55

一、需求说明

作为一名运维工程师,经常安装和配置redis,前阵子有测试同事申请开一个redis的只读账户,以往都是配置一个读写用户,并没有对redis的权限进行细化管理,实际上这种场景是存在的。Redis作为高性能的内存数据库,承载着缓存、会话存储、消息队列等关键功能。随着团队规模的扩大和微服务架构的普及,不同服务或团队对Redis的访问权限需求各不相同。典型场景包括:

  • 监控系统需要读取性能指标,但不应修改数据
  • 数据分析团队需要查询数据,但不应影响生产环境
  • 开发人员在调试时需要查看数据,但不应意外修改
  • 第三方服务需要访问特定数据,但权限应受限制

配置只读账号正是为了解决这类权限分离需求,通过最小权限原则降低数据意外修改或删除的风险。

二、Redis账号介绍:ACL系统

自Redis 6.0起,推荐使用Redis 6.2或更高版本,引入了更完善的ACL(Access Control List)系统,取代了之前的简单密码认证。Redis ACL支持:

  • 用户管理:创建多个用户账号
  • 命令控制:精确控制每个用户可执行的命令
  • 键空间控制:限制可访问的键模式
  • 权限类别:读、写、管理等多种权限类型

1、命令举例:

user admin on >admin_password ~* &* +@all

user readonly on >readonly_password ~* -@all +@read +ping +info

2、上述命令解析

命令类别:

  • +@read:允许所有读命令
  • -@all:禁止所有命令(作为起点)
  • +get:允许get命令
  • +info:允许info命令

键模式

  • ~*:允许访问所有键
  • ~cache:*:仅允许访问以cache:开头的键
  • ~user:* ~session:*:允许访问多种模式

博主这里的示例实验环境是redis7.2.11,版本。如果是只授权某个命令权限或者某类命令权限,记得-@all命令要先写,后面跟上需要配置的命令授权。

root@ywserver \~\]# redis-cli --version redis-cli 7.2.11

三、配置方式及配置示例

1、通过Redis CLI配置(临时)

先设置一个只读用户,用只读账户连接测试,我们就可以发现这个用户可以执行get,exists等只读命令,但是不能执行set等写入命令。

127.0.0.1:6379>ACL SETUSER readonly on >readonly_password ~* -@all +@read

2、通过配置文件(永久生效)

通过Redis CLI配置账户及授权在当前服务进程生效,redis重启后账户配置及授权就丢失了。如果需要永久生效我们需要在/etc/redis.conf配置文件中进行配置,添加如下一行配置之后重启redis。如果用户需要远程连接,记得加上+@connection权限。

user readuser on >user123 ~* &* -@all +@read +@connection

3、通过ACL文件管理

为了方便管理用户,我们可以指定users.acl作为用户权限配置管理文件,这样的好处是修改了users.acl之后我们可以通过ACL LOAD热加载配置文件,不需要重启redis。

root@ywserver \~\]# mkdir -p /etc/redis \[root@ywserver \~\]# vim /etc/redis/users.acl \[root@ywserver \~\]# systemctl restart redis \[root@ywserver \~\]# cat /etc/redis.conf \|grep users.acl aclfile /etc/redis/users.acl \[root@ywserver \~\]# cat /etc/redis/users.acl user default off user admin on \>admin123 \~\* \&\* +@all user readuser on \>user123 \~\* -@all +@read +ping +info ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/b56caba3e02a4fe2ae751ef13ac30407.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/56c9322fbc9e41fd9e6a488a17c55f55.png)

四、管理命令参考

  • 查看所有用户
    ACL LIST
  • 查看特定用户规则
    ACL GETUSER readuser
  • 删除用户
    ACL DELUSER readuser
  • 保存ACL配置到文件
    ACL SAVE
  • 加载ACL配置
    ACL LOAD
  • 查看命令类别
    ACL CAT
  • 查看所有读命令
    ACL CAT read

五、常见命令类别包含的命令

1、@read 类别(部分)

  • get, mget, hget, hmget
  • exists, type, ttl, pttl
  • llen, lrange, scard, smembers
  • zcard, zrange, zscore
  • keys, scan, hscan, sscan, zscan

2、@write 类别(部分)

  • set, mset, hset, hmset
  • del, hdel, srem, zrem
  • incr, decr, hincrby
  • lpush, rpush, lpop, rpop

3、其他实用类别

  • @connection:连接相关(AUTH, HELLO, QUIT等)
  • @pubsub:发布订阅相关
  • @fast:快速命令(PING, ECHO等)
相关推荐
极客先躯6 分钟前
高级java每日一道面试题-2025年7月15日-基础篇[LangChain4j]-如何集成国产大模型(如通义千问、文心一言、智谱 AI)?
java·人工智能·langchain·文心一言·异常处理·密钥管理·参数调优
追随者永远是胜利者17 分钟前
(LeetCode-Hot100)226. 翻转二叉树
java·算法·leetcode·职场和发展·go
芒克芒克1 小时前
深入浅出Java线程池(一)
java·开发语言
wuqingshun3141591 小时前
红黑树有哪些特征
java·开发语言·jvm
fchampion1 小时前
最终一致性
java·spring·rabbitmq·github·mvc
wuqingshun3141591 小时前
说一下什么是fail-fast
java·开发语言·jvm
wuqingshun3141591 小时前
知道java NIO吗?和java IO有什么区别?
java·开发语言·jvm
AC赳赳老秦1 小时前
2026多模态技术趋势预测:DeepSeek处理图文音视频多格式数据实战指南
java·人工智能·python·安全·架构·prometheus·deepseek
芒克芒克2 小时前
深入浅出Java线程池(二)
java
Zik----2 小时前
Leetcode22 —— 括号生成
java·开发语言
热门推荐
01GitHub 镜像站点02AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot03如何解决 OpenClaw “Pairing required” 报错:两种官方解决方案详解04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05全面体验 Grok API 中转站(2025 · Grok 4 系列最新版)06MIUI显示/隐藏5G开关的方法,信号弱时开启手机Wifi通话方法07openClaw安装飞书插件|核心踩坑:spawn EINVAL 错误终极解决指南08配置 OpenClaw 使用 Ollama 本地模型09Tripo AI:构建游戏就绪的3D资产10从零搭建一个 PHP 登录注册系统(含完整源码)