Hook di verifica della password (passcheck)

Riferimento sugli hook per Trusted Language Extensions per PostgreSQL

Trusted Language Extensions per PostgreSQL supporta gli hook PostgreSQL. Un hook è un meccanismo di callback interno che gli sviluppatori possono usare per estendere le funzionalità di base di PostgreSQL. Utilizzando gli hook, gli sviluppatori possono implementare le proprie funzioni o procedure da utilizzare durante varie operazioni del database, modificando così il comportamento di PostgreSQL in qualche modo. Ad esempio, puoi usare un hook passcheck per personalizzare il modo in cui PostgreSQL gestisce le password fornite durante la creazione o la modifica delle password per gli utenti (ruoli).

Visualizza la seguente documentazione per informazioni sull'hook passcheck disponibile per le tue estensioni TLE. Per ulteriori informazioni sugli hook disponibili, incluso l'hook di autenticazione del client, consulta gli hook Trusted Language Extensions.

Hook di verifica della password (passcheck)

L'hook passcheck viene utilizzato per personalizzare il comportamento di PostgreSQL durante il processo di verifica della password per i seguenti comandi SQL e il metacomando psql.

CREATE ROLE username ...PASSWORD: per ulteriori informazioni, consulta CREATE ROLE nella documentazione di PostgreSQL.
ALTER ROLE username...PASSWORD: per ulteriori informazioni, consulta ALTER ROLE nella documentazione di PostgreSQL.
\password username: questo metacomando psql interattivo modifica in modo sicuro la password per l'utente specificato eseguendo l'hashing della password prima di utilizzare in modo trasparente la sintassi ALTER ROLE ... PASSWORD. Il metacomando è un wrapper sicuro per il comando ALTER ROLE ... PASSWORD, quindi l'hook si applica al comportamento del metacomando psql.

Per vedere un esempio, consulta Codice di hook di controllo della password.

Indice

Prototipo di funzione


passcheck_hook(username text, password text, password_type pgtle.password_types, valid_until timestamptz, valid_null boolean)

Argomenti

La funzione dell'hook passcheck accetta i seguenti argomenti:

username: il nome (come testo) del ruolo (nome utente) che imposta una password.
password: la password in chiaro o con hash. La password immessa deve corrispondere al tipo specificato in password_type.
password_type: specifica il formato pgtle.password_type della password, che può essere costituito da una delle seguenti opzioni.
- PASSWORD_TYPE_PLAINTEXT: una password in testo semplice.
- PASSWORD_TYPE_MD5— Una password sottoposta a hash utilizzando l'algoritmo MD5 (message digest 5).
- PASSWORD_TYPE_SCRAM_SHA_256: una password che è stata sottoposta a hash utilizzando l'algoritmo SCRAM-SHA-256.
valid_until: specifica l'ora in cui la password diventa non valida. Questo argomento è facoltativo. Se utilizzi questo argomento, specifica l'ora come valore timestamptz.
valid_null: se questo booleano è impostato su true, l'opzione valid_until è impostata su NULL.

Configurazione

La funzione pgtle.enable_password_check controlla se l'hook passcheck è attivo. L'hook passcheck ha tre possibili impostazioni.

off: disattiva l'hook passcheck di verifica della password. Si tratta del valore di default.
on: attiva l'hook passcode di verifica della password in modo che le password vengano confrontate con la tabella.
require: richiede la definizione di un hook di verifica della password.

Note per l'utilizzo

Per attivare o disattivare l'hook passcheck, è necessario modificare il gruppo di parametri database personalizzato per l'istanza database RDS per PostgreSQL.

In Linux, macOS, oppure Unix:


aws rds modify-db-parameter-group \
    --region aws-region \
    --db-parameter-group-name your-custom-parameter-group \
    --parameters "ParameterName=pgtle.enable_password_check,ParameterValue=on,ApplyMethod=immediate"

In Windows:


aws rds modify-db-parameter-group ^
    --region aws-region ^
    --db-parameter-group-name your-custom-parameter-group ^
    --parameters "ParameterName=pgtle.enable_password_check,ParameterValue=on,ApplyMethod=immediate"

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riferimento funzionale per Trusted Language Extensions

Esempi di codice