Redis之配置只读账号

恒悦sunsite2026-02-01 18:55

一、需求说明

作为一名运维工程师,经常安装和配置redis,前阵子有测试同事申请开一个redis的只读账户,以往都是配置一个读写用户,并没有对redis的权限进行细化管理,实际上这种场景是存在的。Redis作为高性能的内存数据库,承载着缓存、会话存储、消息队列等关键功能。随着团队规模的扩大和微服务架构的普及,不同服务或团队对Redis的访问权限需求各不相同。典型场景包括:

  • 监控系统需要读取性能指标,但不应修改数据
  • 数据分析团队需要查询数据,但不应影响生产环境
  • 开发人员在调试时需要查看数据,但不应意外修改
  • 第三方服务需要访问特定数据,但权限应受限制

配置只读账号正是为了解决这类权限分离需求,通过最小权限原则降低数据意外修改或删除的风险。

二、Redis账号介绍:ACL系统

自Redis 6.0起,推荐使用Redis 6.2或更高版本,引入了更完善的ACL(Access Control List)系统,取代了之前的简单密码认证。Redis ACL支持:

  • 用户管理:创建多个用户账号
  • 命令控制:精确控制每个用户可执行的命令
  • 键空间控制:限制可访问的键模式
  • 权限类别:读、写、管理等多种权限类型

1、命令举例:

user admin on >admin_password ~* &* +@all

user readonly on >readonly_password ~* -@all +@read +ping +info

2、上述命令解析

命令类别:

  • +@read:允许所有读命令
  • -@all:禁止所有命令(作为起点)
  • +get:允许get命令
  • +info:允许info命令

键模式

  • ~*:允许访问所有键
  • ~cache:*:仅允许访问以cache:开头的键
  • ~user:* ~session:*:允许访问多种模式

博主这里的示例实验环境是redis7.2.11,版本。如果是只授权某个命令权限或者某类命令权限,记得-@all命令要先写,后面跟上需要配置的命令授权。

root@ywserver \~\]# redis-cli --version redis-cli 7.2.11

三、配置方式及配置示例

1、通过Redis CLI配置(临时)

先设置一个只读用户,用只读账户连接测试,我们就可以发现这个用户可以执行get,exists等只读命令,但是不能执行set等写入命令。

127.0.0.1:6379>ACL SETUSER readonly on >readonly_password ~* -@all +@read

2、通过配置文件(永久生效)

通过Redis CLI配置账户及授权在当前服务进程生效,redis重启后账户配置及授权就丢失了。如果需要永久生效我们需要在/etc/redis.conf配置文件中进行配置,添加如下一行配置之后重启redis。如果用户需要远程连接,记得加上+@connection权限。

user readuser on >user123 ~* &* -@all +@read +@connection

3、通过ACL文件管理

为了方便管理用户,我们可以指定users.acl作为用户权限配置管理文件,这样的好处是修改了users.acl之后我们可以通过ACL LOAD热加载配置文件,不需要重启redis。

root@ywserver \~\]# mkdir -p /etc/redis \[root@ywserver \~\]# vim /etc/redis/users.acl \[root@ywserver \~\]# systemctl restart redis \[root@ywserver \~\]# cat /etc/redis.conf \|grep users.acl aclfile /etc/redis/users.acl \[root@ywserver \~\]# cat /etc/redis/users.acl user default off user admin on \>admin123 \~\* \&\* +@all user readuser on \>user123 \~\* -@all +@read +ping +info ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/b56caba3e02a4fe2ae751ef13ac30407.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/56c9322fbc9e41fd9e6a488a17c55f55.png)

四、管理命令参考

  • 查看所有用户
    ACL LIST
  • 查看特定用户规则
    ACL GETUSER readuser
  • 删除用户
    ACL DELUSER readuser
  • 保存ACL配置到文件
    ACL SAVE
  • 加载ACL配置
    ACL LOAD
  • 查看命令类别
    ACL CAT
  • 查看所有读命令
    ACL CAT read

五、常见命令类别包含的命令

1、@read 类别(部分)

  • get, mget, hget, hmget
  • exists, type, ttl, pttl
  • llen, lrange, scard, smembers
  • zcard, zrange, zscore
  • keys, scan, hscan, sscan, zscan

2、@write 类别(部分)

  • set, mset, hset, hmset
  • del, hdel, srem, zrem
  • incr, decr, hincrby
  • lpush, rpush, lpop, rpop

3、其他实用类别

  • @connection:连接相关(AUTH, HELLO, QUIT等)
  • @pubsub:发布订阅相关
  • @fast:快速命令(PING, ECHO等)
相关推荐
月月玩代码21 小时前
Actuator,Spring Boot应用监控与管理端点!
java·spring boot·后端
阿珍爱上了阿强,在一个有星星的夜晚1 天前
node后端页面性能监测分析
java·学习方法
Java程序之猿1 天前
SpringBoot + camel+IBM MQ实现消息队列处理
java·spring boot·mybatis
jgyzl1 天前
2026.3.9 Redis内存回收内存淘汰
数据库·redis·缓存
z_鑫1 天前
SpringCloud FeignClient 中 Bean 重复注册冲突解决方案解析
java·spring boot·spring cloud
孫治AllenSun1 天前
【线程池】优化等待队列和拒绝策略
java·spring boot·spring cloud
毕设源码-邱学长1 天前
【开题答辩全过程】以 基于Spring Boot的体育场地预约管理系统为例,包含答辩的问题和答案
java·spring boot·后端
青槿吖1 天前
第二篇:告别XML臃肿配置!Spring注解式IOC/DI保姆级教程,从入门到真香
xml·java·开发语言·数据库·后端·sql·spring
摇滚侠1 天前
讲一讲 SpringMVC,线程变量 ThreadLocal 的使用
java·spring boot·intellij-idea
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03OpenClaw 使用和管理 MCP 完全指南04OpenClaw macOS 完整安装与本地模型配置教程(实战版)05本地部署 OpenClaw + DeepSeek-R1 完全指南06UV安装并设置国内源07OpenClaw 飞书机器人不回复消息?3 小时踩坑总结08Openclow安装保姆级教程09得物前端部门,没了10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)