PostgreSQL对等认证对生产安全吗？

Question

PostgreSQL对等认证是这个网站上许多问题的来源，但是一旦你了解了它的工作原理，它看起来就很棒了。

例如，我可以让我的应用程序连接到开发数据库，而无需提供用户名和密码。

所以，我的问题是，我可以在生产服务器上使用对等身份验证吗？够安全吗？

非常感谢。

Answer 1

peer对于许多类型的部署非常有用--例如，当您希望允许用户登录本地unix用户帐户并以匹配的PostgreSQL用户身份获得快速DB访问时。

这对网络应用来说并不好，因为你通常希望每个user应用都有自己的用户。因此，您通常对它们使用md5。

我经常把这两者结合起来。对于webapps来说，如果驱动程序支持local套接字，则允许它使用私有DB --如果驱动程序支持它，则只允许通过local套接字，或者通过localhost的host连接。允许本地用户访问任何DB，包括webapp。如果您希望每个db中只有一个用户(因此您可以忽略权限--我不建议这样做，但我知道有些人这样做)，您可以使用pg_ident.conf映射来允许用户通过peer进行身份验证，而不是默认用户名。

然后，您可以通过md5或gssapi (kerberos)或sspi (如果是Windows主机)添加来自外部世界的gssapi连接。

身份验证方法不是全部，也不是什么都不是。有一个原因，它很容易提供一个选择列表，并选择第一个匹配的一个。