Để truy cập Couchbase Server, quản trị viên và ứng dụng phải xác thực. Xác thực dựa trên mật khẩu. Để bảo mật thêm, các ứng dụng có thể được thiết kế để sử dụng mật khẩu trong thói quen dựa trên băm.
3.1. Xác thực cho Quản trị viên
Tên người dùng và mật khẩu quản trị viên, cả hai đều được yêu cầu để xác thực, ban đầu được thiết lập trong quá trình khởi tạo Couchbase Server: xem Khởi tạo Cluster để biết chi tiết. Sau đó, mật khẩu có thể được thay đổi bằng cơng cụ đặt lại mật khẩu, reset-admin-password.
Cách làm tốt nhất về xác định mật khẩu được liệt kê trong phần Couchbase passwords.
Khi Bảng điều khiển Web Couchbase đang chạy trên cổng mặc định, http: // localhost: 8091, tên người dùng và mật khẩu của quản trị viên được truyền trong rõ ràng, từ trình duyệt của quản trị viên đến giao diện điều khiển. Tùy chọn, Couchbase Web Console có thể được cấu hình để truy cập an tồn, tại https: // localhost: 18091; để tên người dùng và mật khẩu được thơng qua ở dạng mã hóa.
3.2. Xác thực cho các ứng dụng
Các tính năng của Couchbase Server - bao gồm dữ liệu, cài đặt và thống kê - chỉ có thể được truy cập bởi những người dùng đã được gán đặc quyền thích hợp. Mỗi privilage là đọc hoặc đọc-viết. Các đặc quyền được chỉ định bởi các Quản trị viên Toàn quyền, dưới dạng vai trò. Khi người dùng xác thực thành cơng, các vai trị được phân công của họ sẽ được kiểm tra và Couchbase Server đã cấp hoặc từ chối.
Để vượt qua các chứng chỉ, các ứng dụng phải sử dụng một trong bốn cơ chế được cung cấp bởi khung cơ cấu chứng thực và bảo mật đơn giản (SASL). Đây là PLAIN, và ba thành viên của Cơ chế xác thực phản ứng Salted Challenge của các hàm băm; đó là SCRAM-SHA1, SCRAM-SHA256 và SCRAM-SHA512. Cơ chế SCRAM cho phép các ứng dụng xác thực một cách an toàn, bằng cách truyền mật khẩu chỉ ở dạng được bảo vệ. Trình điều khiển có thể cần được cập nhật, để hỗ trợ chức năng băm dựa trên SHA.
3.3. Cơ chế xác thực mật khẩu
Theo thứ tự tăng dần, Couchbase cơ chế xác thực mật khẩu như sau:
Khách hàng gửi mật khẩu ở dạng khơng mã hố. Tất cả các khách hàng đều ủng hộ phương pháp xác thực này. Nó khơng an tồn, khơng có biện pháp phòng vệ nào chống lại mật khẩu bị đánh cắp khi chuyển.
SCRAM-SHA1: Sử dụng một phím 160-bit.
SCRAM-SHA256: Một trong những nhóm hàm băm được gọi là SHA2, SCRAM-SHA256 sử dụng một khóa 256-bit.
SCRAM-SHA512: Một hàm băm khác từ nhóm SHA2, SCRAM-SHA512 sử dụng một phím 512-bit; và là giao thức xác thực mạnh nhất được hỗ trợ.
Trong quá trình đàm phán máy chủ khách hàng ban đầu, giao thức xác thực mạnh nhất được hỗ trợ bởi cả Couchbase Server và hệ điều hành khách hàng của ứng dụng được chọn để sử dụng. Ví dụ, nếu khách hàng chỉ hỗ trợ giao thức PLAIN, giao thức PLAIN được sử dụng; nhưng nếu máy khách cũng hỗ trợ giao thức SCRAM-SHA1, thì SCRAM-SHA1 được sử dụng.
Một phương pháp đáp ứng thách thức có thể được truyền qua cả hai kênh mã hóa và khơng được mã hóa.
Lưu ý rằng các giao thức phản ứng thách thức SCRAM chỉ xác thực quá trình xác nhận mật khẩu. Để đảm bảo cho phiên tiếp theo, nên sử dụng TLS.