openGauss安全认证

openGauss数据库是一款标准的基于客户端/服务端（C/S）模式工作的数据库系统，每一个完整的会话连接都由后台服务进程和客户端进程组成。一个完整的客户端认证过程如图11-2所示。

图11-2 openGauss认证详细流程

(1) 客户端依据用户需求配置相关认证信息，这里主要指SSL（Secure Sockets Layer，安全套接层）认证相关信息，建立与服务端之间的连接。

(2) 连接建立完成后，客户端发送访问所需要的连接请求信息给服务端，对请求信息的验证工作都在服务端完成。

(3) 服务端首先需要进行访问源的校验，即依据配置文件对访问的端口号、访问IP地址、允许用户访问范围以及访问数据对象进行校验。

(4) 在完成校验后连同认证方式和必要的信息返回给客户端。

(5) 客户端依据认证方式加密口令并发送认证所需的信息给服务端。

(6) 服务端对收到的认证信息进行认证。认证通过，则启动会话任务与客户端进行通信提供数据库服务。否则拒绝当前连接，并退出会话。

客户端安全认证机制是openGauss数据库的第一层安全保护机制，解决了访问源与数据库服务端间的信任问题。通过这层机制可有效拦截非法用户对数据库进行恶意访问，避免后续的非法操作。