Redis 低版本客户端兼容高版本 Jedis 不支持 ACL 的问题

首先，针对于 Redis6.0 之后，已经可以支持通过 ACL 的访问控制列表的机制进行控制多个用户进行权限控制访问，并且更加精细的控制权限访问处理模式，更加的偏向于 RBAC 模型的机制体系。

Redis 的 ACL 是什么？

Redis 的 ACL（Access Control List）是一种用于访问控制的功能，它允许您对 Redis 服务器进行细粒度的权限管理和访问控制。通过使用 ACL，您可以限制对 Redis 命令和数据的访问，以保护您的 Redis 实例免受未经授权的访问和滥用。

Redis 的 ACL 功能提供了以下几个关键方面的控制：

1. 用户和角色管理：ACL 允许您创建和管理多个用户，并为每个用户分配适当的角色。角色定义了用户可以执行的命令和访问的数据范围。

2. 命令级别的权限控制：您可以为每个角色指定允许执行的命令和禁止执行的命令。这使您能够限制用户对特定命令的访问权限。

3. 数据级别的权限控制：ACL 还允许您为每个角色指定可以访问的数据库和键空间。这使您能够限制用户对特定数据的访问权限。

4. 密码和认证：ACL 允许您为每个用户设置密码，并要求用户在连接到 Redis 服务器时进行身份验证。这提供了一种基本的身份验证机制，以确保只有经过身份验证的用户才能访问 Redis。

通过使用 ACL，您可以实现对 Redis 的细粒度访问控制，确保只有经过授权的用户才能执行特定的命令和访问特定的数据。这有助于提高 Redis 实例的安全性，并防止未经授权的访问和滥用。

POC 调研计划方案

目前公司存在了某种需求问题，需要进行调整和升级 Redis 版本，并且倾向于通过用户（可以理解为角色）+ 密码的方式进行对于 Redis 访问的控制。

poc 截止到了现在应该是勉强可以了，不过还有一些问题，但是应该是可以实现了，大概使用了 4 套方案：

1. 升级整体框架版本整体框架，从而升级客户端版本，后面发现和代码的适配问题会引发很多不必要的坑，以及后续改动量实在太大了，我大概 POC 花费了 2d 时间去处理。

2. 不修改整体框架版本，只修改单纯的客户端版本，我修改了很多源码，以及对应的客户端底库，最后发现对于集群模式的时候会出现很多问题，而且 DBS 目前才有的应该是集群模式吧，所以暂时放弃了，大概 POC 花费了 1d 时间

3. 升级客户端底层仓库，不修改客户端以及框架，后面我也是在减少项目代码的变化，然后将 jedis 的底层源码进行修改了，但是发现了发现可以实现，但是改动量实在是太大了，基本上修改了整体的源码仓库才可能性，而且出现了对于 so 库的仓库的加载的问题，POC 花费了 2d，工作 l 量至少需要 1w 人天。

4. （推荐）全流成改造我们的项目代码，方便所有的 redisson 和 jedis 代码进行改造和优化调整，以及 jedis 的对应兼容 acl 的用户名认证的代码，以及添加对应的配置实现，并且加入适配的代码即可，从而可以实现对应的对应的兼容 ACL 模式下的：用户名和密码登录。POC 花费了 2d，工作量还是比较大，我预测大概至少 3-4d 的实现改造所有服务的代码（1d）的时间进行自测。

Jedis 升级版本功能实现控制

Jedis 源码改造原则

在不改造任何版本框架版本的场景下，仅仅进行使用适配的模型和能力进行实现用户名和密码的登陆方式。其中就要用到一个原则就是项目目录与 jar 包中的文件相同的全限定名的时候，会优先采用项目目录中的类进行加载，从而我们就获得了进行覆盖 jedis 源码的能力。

覆盖 Auth 的 Jedis 操作认证

我们将整个 BinaryClient 全部拷贝出来，放到我们的项目里面，并且包名必须为：redis.clients.jedis。

面向的类为：redis.clients.jedis.BinaryClient。在较低版本的源码为：

 public void auth(final String password) {         setPassword(password);         sendCommand(AUTH, password); }

对此，我们需要进行对于高版本的代码变更一下 Redis 的指令 auth 从参数角度进行变更即可。

指令修改和代码调整兼容

auth password

变更为支持用户名+密码的认证模式机制

auth userName password

故此我们将代码修改为：

 public void auth(final String password) {        String userName = RedisUserName.redisUserName;        if(StringUtils.isNotBlank(userName)){            setPassword(password);            sendCommand(AUTH,userName, password);        }        else {            setPassword(password);            sendCommand(AUTH, password);        }  }

此外还考虑了兼容单独密码的模式，所以进行调整了兼容两种模式都共存的 if 语句，嘻嘻。

这样子将底层的功能进行直接获取用户名进行控制，减少了很多的开发量问题。并且对于 Spring 框架、甚至我们自己的框架都是透明化的问题。

Redis 用户名的传输和配置

接下来就是最后一个问题，配置用户名以及如何传递给他，我在这里使用了一个简单的方案就是通过静态变量进行传输。方便我们全局访问！

从下面的配置可以看到，我们属于使用 RedisUserName 类进行访问此类的 redisUserName 变量进行访问。那么这个值是怎么来的？

直接上源码干货

不说太多其他的，直接上干货即可。

@Componentpublic class RedisUserName implements BeanPostProcessor {
    public static String redisUserName;
    @Value("${spring.redis.userName:root}")    private String userName;
    @Override    public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException {        if(bean instanceof RedisConfig && StringUtils.isEmpty(redisUserName)){            RedisUserName.class.getClassLoader();            try {                Class.forName(RedisUserName.class.getName());            } catch (ClassNotFoundException e) {                throw new RuntimeException(e);            }            RedisUserName.redisUserName = userName;        }        return BeanPostProcessor.super.postProcessBeforeInitialization(bean, beanName);    }
    @Override    public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {        if(bean instanceof RedisConfig && StringUtils.isEmpty(redisUserName)){            RedisUserName.class.getClassLoader();            try {                Class.forName(RedisUserName.class.getName());            } catch (ClassNotFoundException e) {                throw new RuntimeException(e);            }            RedisUserName.redisUserName = userName;        }        return BeanPostProcessor.super.postProcessAfterInitialization(bean, beanName);    }}

实现了 Spring 的 BeanPostProcessor 接口的类的方法。它的作用是在 Bean 初始化之前对特定的 Bean 进行处理。

1. public static String redisUserName;：定义了一个静态的字符串变量redisUserName，用于存储 Redis 的用户名。

2. @Value("${spring.redis.userName:root}")：使用 Spring 的@Value注解，将配置文件中的spring.redis.userName属性的值注入到userName变量中。如果配置文件中没有配置该属性，则默认值为"root"。

3. postProcessBeforeInitialization方法：这是 BeanPostProcessor 接口的一个方法，用于在 Bean 初始化之前进行处理。在这个方法中，首先判断当前处理的 Bean 是否是 RedisConfig 类型，并且redisUserName为空。如果满足条件，则执行以下操作：

4. RedisUserName.class.getClassLoader();：这行代码没有实际作用，可能是作者误写或者遗留的无用代码。

5. Class.forName(RedisUserName.class.getName());：通过反射加载RedisUserName类，这行代码也没有实际作用，可能是作者误写或者遗留的无用代码。

6. RedisUserName.redisUserName = userName;：将userName的值赋给redisUserName静态变量，即将配置文件中的spring.redis.userName属性的值赋给redisUserName变量。

7. 最后，返回BeanPostProcessor.super.postProcessBeforeInitialization(bean, beanName);，继续执行其他的 BeanPostProcessor 的处理逻辑。

总结介绍说明

在 RedisConfig 类的 Bean 初始化之前，将配置文件中的spring.redis.userName属性的值赋给静态变量redisUserName。这样可以在其他地方通过访问RedisUserName.redisUserName来获取 Redis 的用户名。但是代码中的部分内容，如RedisUserName.class.getClassLoader();和Class.forName(RedisUserName.class.getName());似乎没有实际作用，可能是作者误写或者遗留的无用代码。

修改配置和调整控制

设置对应的 ACL 的用户和设置指令

主要用于对应 SAAS 环境的中用户和我们 Redis 的 ACL 是一个概念的用户设计。

增加配置文件中的 key 或者环境变量

# 主要用于Jedis客户端的连接使用spring.redis.userName: {用户名}# 主要用于Redisson客户端的连接使用redisson.userName: {用户名}

修改对应的配置信息

spring.redis.password：{你在设置ACL的时候所制定的密码}

设置 Redis 的 ACL 用户指令

设置用户密码

ACL SETUSER {用户名} on >{你的密码}

设置用户整体操作权限

> acl setuser {用户名} ~* &* +@all