Redis添加密码无果（Redis添加密码失败）

Redis：添加密码无果

Redis是一个流行的开源内存数据库，可以用作缓存、消息中间件和持久化存储。它以其高性能和可扩展性而闻名，但在安全方面却存在一些挑战。为了保护Redis的安全性，用户可以通过添加密码来限制访问。然而，在实际应用中，有些用户在添加密码时会遇到无法生效的问题。本文将探讨这个问题的根源和解决方法。

根源

在使用Redis时，用户可以通过设置config文件或者运行时指定参数的方式来配置密码。假设我们想要使用config文件中的密码配置Redis，我们可以将以下命令添加到config文件中：

requirepass mypassword

然后我们可以通过启动Redis服务器来应用这个配置：

redis-server /path/to/redis.conf

或者我们可以直接在运行时通过如下命令指定密码：

redis-server --requirepass mypassword

然而，有些用户在配置密码后发现Redis并不会按照他们所期望的方式执行。可以列举以下一些情况：

1. 设置密码后，可以通过不使用密码的方式直接连接Redis。

2. 可以使用错误的密码来连接Redis，Redis并不会提示密码错误。

3. Redis仍可以正常执行没有权限的操作（例如，设置键值对），尽管用户没有提供正确的密码。

为什么会出现这些问题呢？根本原因在于Redis在默认情况下只会将密码作为验证请求中的一个参数，而不是真正的验证方式。因此，如果连接请求中未提供密码，Redis仍会允许连接，并执行未经验证的操作。这就是为什么在添加密码后仍然可以直接连接Redis的原因。另一方面，由于Redis并没有将密码作为验证方式来处理，因此即使提供了错误的密码，Redis也不会提示密码错误，而是直接执行请求。这也解释了为什么可以使用错误的密码来连接Redis的问题。由于Redis未将密码作为验证方式来处理，因此即使提供了错误的密码，Redis也不会限制用户的权限，而是继续执行他们的请求。

解决方法

要解决这些问题，最简单的方法就是在启动Redis时使用”–protected-mode yes”参数来启用Redis保护模式。Redis保护模式会更加严格地验证连接请求并使用密码来验证用户。如果密码验证失败，Redis会拒绝执行请求，并提示错误消息。此外，Redis保护模式还会限制未经验证用户的权限，防止他们在Redis中执行任意操作。因此，即使某些未验证的用户可以访问Redis，他们也无法执行敏感操作。

以下是启用Redis保护模式的命令：

redis-server --protected-mode yes

在启用保护模式后，Redis会要求每个连接请求都提供密码。如果未提供密码或提供了错误的密码，Redis会发送错误消息并关闭连接。对于特定的Redis客户端，也可以在连接时指定密码，如下所示：

redis-cli -a mypassword

或

redis-cli --no-auth-warning -h localhost -p 6379 -a mypassword

结论

在保护安全的情况下，添加密码对于Redis非常重要。但是，对于那些看起来已经添加密码但似乎失败的用户来说，问题可能并不是出现在密码本身上。相反，问题在于Redis默认的验证方式并未将密码视为必需的验证因素。要解决这个问题，我们需要启用Redis保护模式，这将更加严格地验证连接请求并使用密码来验证用户身份。启用后，Redis会拒绝未经验证的用户，并在密码验证失败时发送错误消息。最终，这会提高Redis的安全性，并保护应用程序免受黑客攻击。