Servidor Couchbase 5.0 ofrece algunas nuevas funciones de autenticación que requieren algunos cambios menores en el código de conexión del cliente. Los cambios específicos en el SDK se describen en este post y también se refieren a los cambios realizados en la versión previa. Versión para desarrolladores de abril así como las próximas versiones Beta.
Véase la Introducción de Matthew al control de acceso basado en funciones: Parte 1 & Parte 2
En pocas palabras, las contraseñas basadas en cubos (y los cubos sin contraseña) son cosa del pasado. En su lugar, hemos proporcionado un control de acceso a nivel de rol muy preciso a los cubos, los datos y todos los servicios. Ahora puede crear un usuario con funciones y derechos de acceso específicos y, a continuación, conectarse como ese usuario (con contraseña) en su cliente.
Hay tres patrones específicos para utilizar estas nuevas características, reviso cada opción en este post.
Como esto se basa en código de servidor de preproducción, los ejemplos pueden cambiar. Tenga en cuenta también que necesita tener el últimas bibliotecas del SDK para su idioma, compatibles en el momento de redactar este documento son Java, .NET, Node.js, PHP, Python, Go y C.
Cubos con nombre de usuario
Si continúa utilizando la cadena de conexión URI básica para un bucket sin nombre de usuario, hay algunas suposiciones que el cliente hace ahora.
En primer lugar, asumirá que tienes un usuario con el mismo nombre que su cubo. Los usuarios que migren desde versiones anteriores lo agradecerán, ya que todo lo que tienen que hacer es proporcionar una contraseña con la cadena de conexión como se muestra en este ejemplo de Python:
|
1 |
>>> db = Cubo("couchbase://localhost/tyler",contraseña="tyler123") |
(Este uso simplificado se limita a las bibliotecas Python, PHP y C)
Lo anterior supone no sólo que existe una cubo llamado tyler sino también un usuario llamado tyler que tenga activada una función de acceso a cubos.
Cubos sin contraseña ya no están permitidos, pero con una excepción: los buckets migrados. Es imposible crear un nuevo usuario sin contraseña, pero el proceso de migración creará usuarios, sin contraseña, para los buckets que antes no la tenían.
Como en el caso anterior, el usuario tendrá el mismo nombre que el cubo y no tendrá contraseña. En ese caso puedes pasar una cadena de contraseña vacía con la cadena de conexión.
Tras la migración, los nuevos buckets y usuarios requerirán contraseñas, por lo que es un buen momento para cambiar su enfoque de cara al futuro.
Pasar nombre de usuario y contraseña con nombre de cubo
El nuevo paradigma de autenticación tiene dos formas de gestionar las conexiones autenticadas. El enfoque más simple es ajustar los parámetros de conexión para incluir tanto el nombre de usuario como la contraseña, esto se hace fácilmente en Python, :
|
1 |
>>> db = Cubo("couchbase://localhost/viaje-muestra", nombre de usuario="Tyler", contraseña="tyler123") |
Sin embargo, se trata de un enfoque muy simplista. Hay una opción más potente que utiliza el nueva clase Authenticator para gestionar la autenticación contra, potencialmente, múltiples cubos.
Clase Authenticator para gestionar usuarios y cubos
La forma "correcta" de gestionar la autenticación es desacoplarla completamente del URI del cubo y pasarla a la conexión del clúster cuando sea necesario.
Aquí la inicialización del Authenticator toma un Cluster dado y se autentica contra él. En estos ejemplos se ve que el patrón es el mismo en todos los idiomas. El Authenticator se puede pasar a otros Clusters según se desee.
Python
|
1 2 3 4 5 6 7 8 |
de couchbase.grupo importar Grupo de couchbase.grupo importar PasswordAuthenticator grupo = Grupo(couchbase://localhost) autentificador = PasswordAuthenticator(nombre de usuario, contraseña) grupo.autentifique(autentificador) cubo = grupo.open_bucket(nombre-cubo) |
Java
|
1 2 3 |
Grupo grupo = CouchbaseCluster.crear(); grupo.autentifique("nombre de usuario", "contraseña"); Cubo cubo = grupo.openBucket("nombre-cubo"); |
.NET
|
1 2 3 4 5 |
var grupo = nuevo Grupo(nuevo ClientConfiguration { Servidores = nuevo Lista<Uri> { nuevo Uri("http://localhost") }}); var autentificador = nuevo PasswordAuthenticator("nombre de usuario", "contraseña"); grupo.Autentificar(autentificador); var cubo = grupo.OpenBucket("nombre-cubo"); |
PHP
|
1 2 3 4 5 |
$authenticator = nuevo \Couchbase\PasswordAuthenticator(); $authenticator->nombre de usuario(nombre de usuario)->contraseña(contraseña); $cluster = nuevo \Couchbase\Grupo(couchbase://localhost); $cluster->autentifique($authenticator); |
Node.js
|
1 2 3 4 |
var couchbase = requiere(couchbase); var grupo = nuevo couchbase.Grupo(couchbase://localhost/'); grupo.autentifique(nombre de usuario, contraseña); var cubo = grupo.openBucket(nombre-cubo); |
Próximos pasos
Observa que el principal cambio de diseño en tus aplicaciones es no utilizar una contraseña específica para cada bucket. En su lugar, necesitas tener un usuario con un rol adecuado que tenga acceso a determinados buckets.
Con sólo un par de líneas de cambio de código puedes aprovechar fácilmente las características de control de acceso basado en roles de Couchbase Server 5.0.
Actualizar a la última versión para desarrolladores y actualiza tus bibliotecas de clientes para empezar a probarlo.
Únase a nosotros en los foros ¡con cualquier pregunta!
[…] https://www.couchbase.com/new-sdk-authentication/ […]
Necesito establecer una conexión SSL. ¿Cómo puedo especificar el certpath en el nuevo SDK? Específicamente estoy usando python. En el pasado hice algo como esto
db = Bucket("couchbase://localhost/tyler?certpath=/etc/ca-bundle.crt",password="tyler123″)
Hola, gracias por leer. De la misma manera como de costumbre, sólo asegúrese de tener la "s" al final de "couchbases://"... Avísame si te quedas atascado de nuevo.
Hola Tyler,
Debería haber aclarado que mi pregunta se refería específicamente a cómo y dónde especificar el archivo de ruta del certificado. Usamos certificados autofirmados y sin especificar esto obtengo "RC=0x37[El cliente no pudo verificar el certificado del servidor]".
En el pasado, el certpath se pasaba como un parámetro de tipo url en la cadena de conexión. No estoy seguro de cómo especificar esto en el nuevo sdk.