fix: acl forward compatible

[dingxiaoshuai123]

向前兼容 userpass 和 userblacklist ，具体实现方法请看评论。

[lqxhub]

ACL 兼容以前的方案

基本和这个pr的内容一致, 在 pika启动的时候, 除了 要初始化原来 default用户外, 还要判断一下, 配置中的 blacklist 是否为空, 如果不为空, 那么需要再初始化一个 命令受限的用户, 比如 limit. 在启动后, 根据 配置中的 requirepass 来设置 default 用户的 密码, 使用 配置中的 userpass 来设置 limit用户的密码, 后续使用 CONFIG 命令来修改 密码时, 不能修改, 只能使用 ACL 的命令来修改. 使用 ACL命令修改 用户密码时, 也不要 修改 配置中 requirepass 和 userpass

下面需要讨论待定:

1. 如果在配置 或者 ACL的配置文件中有多行 limit 相关的配置, 是否和 加载default用户一样, 提示启动失败
2. 如果同时配置了 limit 用户的 ACL规则 和 blacklist, 以哪个为准, 还是说取两个规则的并集

这地方修改一下:

1. 默认使用 default 用户代替原来的 admin 用户 来作为 拥有最高权限的用户
2. 在启动的时候, 判断一下, 如果 blacklist 是空的, 那么久不用初始化 命令受限的用户了

[luky116]

ACL 兼容以前的方案

基本和这个pr的内容一致, 在 pika启动的时候, 除了 要初始化原来 default用户外, 还要判断一下, 配置中的 blacklist 是否为空, 如果不为空, 那么需要再初始化一个 命令受限的用户, 比如 limit. 在启动后, 根据 配置中的 requirepass 来设置 default 用户的 密码, 使用 配置中的 userpass 来设置 limit用户的密码, 后续使用 CONFIG 命令来修改 密码时, 不能修改, 只能使用 ACL 的命令来修改. 使用 ACL命令修改 用户密码时, 也不要 修改 配置中 requirepass 和 userpass

下面需要讨论待定:

1. 如果在配置 或者 ACL的配置文件中有多行 limit 相关的配置, 是否和 加载default用户一样, 提示启动失败
2. 如果同时配置了 limit 用户的 ACL规则 和 blacklist, 以哪个为准, 还是说取两个规则的并集

这地方修改一下:

1. 默认使用 default 用户代替原来的 admin 用户 来作为 拥有最高权限的用户
2. 在启动的时候, 判断一下, 如果 blacklist 是空的, 那么久不用初始化 命令受限的用户了

1、limit 用户我们现在默认叫“admin”，即pika会内置 “default”和“admin” 这俩用户（命名可以再讨论下）
2、按照之前 pika 的逻辑，requirepass 应该是 admin 用户的，userpass 是 default 用户的。
3、black-list 只针对默认用的用户，即 default 和 admin 用户；black-list 会被翻译成 acl 的语法，就当是用户多配置了几条 acl 规则，不冲突

[lqxhub]

ACL 兼容以前的方案
基本和这个pr的内容一致, 在 pika启动的时候, 除了 要初始化原来 default用户外, 还要判断一下, 配置中的 blacklist 是否为空, 如果不为空, 那么需要再初始化一个 命令受限的用户, 比如 limit. 在启动后, 根据 配置中的 requirepass 来设置 default 用户的 密码, 使用 配置中的 userpass 来设置 limit用户的密码, 后续使用 CONFIG 命令来修改 密码时, 不能修改, 只能使用 ACL 的命令来修改. 使用 ACL命令修改 用户密码时, 也不要 修改 配置中 requirepass 和 userpass
下面需要讨论待定:

1. 如果在配置 或者 ACL的配置文件中有多行 limit 相关的配置, 是否和 加载default用户一样, 提示启动失败
2. 如果同时配置了 limit 用户的 ACL规则 和 blacklist, 以哪个为准, 还是说取两个规则的并集

这地方修改一下:

1. 默认使用 default 用户代替原来的 admin 用户 来作为 拥有最高权限的用户
2. 在启动的时候, 判断一下, 如果 blacklist 是空的, 那么久不用初始化 命令受限的用户了

1、limit 用户我们现在默认叫“admin”，即pika会内置 “default”和“admin” 这俩用户 2、按照之前 pika 的逻辑，requirepass 应该是 admin 用户的，userpass 是 default 用户的。 3、black-list 只针对默认用的用户，即 default 和 admin 用户；acl 规则理论上不动这俩默认用户，black-list 会被翻译成 acl 的语法，就当是用户多配置了几条 acl 规则

1. 我的意思是 用 default 代替 admin, 以后pika中不会有 admin这个用户了, default 是最高权限的用户, 也是默认用户, 这样可以和redis保持一致, 否则, 一些测试用例可能要修改
2. 这个是没问题的, requirepass是最高权限用户的密码
3. blacklist 应该是只针对, pika创建的 那个功能受限的用户, 假设叫 limit, ACL规则 理论上不动这俩用户 没懂什么意思, 后续使用 ACL setuser 命令 不能修改 这两个用户吗? ack-list 会被翻译成 acl 的语法，就当是用户多配置了几条ad规则 这个是没问题的, 假设创建的那个功能受限的用户命令是 limit, 在 pika.conf文件里有一条 user : limit on >123 ~* +@all -flush 这个规则, 然后 blacklist中配置了 flushdb,shutdown, 最后再给 limit 设置规则时, 用这两个的并集? 再极端一点, 如果pika.conf 里 user : limit的规则和blacklist里配置的冲突了, 怎么解决, 如果配置了多条怎么解决, 执行了 ACL SAVE 是否把这两个用户的规则 保存, 以及保存后重新加载, 这些都需要考虑

[dingxiaoshuai123]

ACL 兼容以前的方案
基本和这个pr的内容一致, 在 pika启动的时候, 除了 要初始化原来 default用户外, 还要判断一下, 配置中的 blacklist 是否为空, 如果不为空, 那么需要再初始化一个 命令受限的用户, 比如 limit. 在启动后, 根据 配置中的 requirepass 来设置 default 用户的 密码, 使用 配置中的 userpass 来设置 limit用户的密码, 后续使用 CONFIG 命令来修改 密码时, 不能修改, 只能使用 ACL 的命令来修改. 使用 ACL命令修改 用户密码时, 也不要 修改 配置中 requirepass 和 userpass
下面需要讨论待定:

1. 如果在配置 或者 ACL的配置文件中有多行 limit 相关的配置, 是否和 加载default用户一样, 提示启动失败
2. 如果同时配置了 limit 用户的 ACL规则 和 blacklist, 以哪个为准, 还是说取两个规则的并集

这地方修改一下:

1. 默认使用 default 用户代替原来的 admin 用户 来作为 拥有最高权限的用户
2. 在启动的时候, 判断一下, 如果 blacklist 是空的, 那么久不用初始化 命令受限的用户了

1、limit 用户我们现在默认叫“admin”，即pika会内置 “default”和“admin” 这俩用户（命名可以再讨论下） 2、按照之前 pika 的逻辑，requirepass 应该是 admin 用户的，userpass 是 default 用户的。 3、black-list 只针对默认用的用户，即 default 和 admin 用户；black-list 会被翻译成 acl 的语法，就当是用户多配置了几条 acl 规则，不冲突

修改完后：
1、根据配置文件产生两条 acl 规则：
a、default >requirepass &* ~* +@ALL
b、limit >userpass &* ~* +@ALL -userblacklist
2、在配置文件中不能再添加有关 limit 的用户规则，否则启动失败，可以添加default用户的规则。
3、在进行验证的时候，如果传入了两个参数(只传入了密码)，那么首先跟 default 用户进行密码匹配，如果匹配失败了(任何错误原因)，那么和 limit 用户进行密码匹配。如果 传入了用户名和密码，那么就正常匹配。
4、userblacklist 为空的情况下，同样会初始化 Limit用户，否则就会遇到之前的问题，都用只传入密码的方式去验证，但是只有一个 default 用户。

[dingxiaoshuai123]

ACL 兼容以前的方案
基本和这个pr的内容一致, 在 pika启动的时候, 除了 要初始化原来 default用户外, 还要判断一下, 配置中的 blacklist 是否为空, 如果不为空, 那么需要再初始化一个 命令受限的用户, 比如 limit. 在启动后, 根据 配置中的 requirepass 来设置 default 用户的 密码, 使用 配置中的 userpass 来设置 limit用户的密码, 后续使用 CONFIG 命令来修改 密码时, 不能修改, 只能使用 ACL 的命令来修改. 使用 ACL命令修改 用户密码时, 也不要 修改 配置中 requirepass 和 userpass
下面需要讨论待定:

1. 如果在配置 或者 ACL的配置文件中有多行 limit 相关的配置, 是否和 加载default用户一样, 提示启动失败
2. 如果同时配置了 limit 用户的 ACL规则 和 blacklist, 以哪个为准, 还是说取两个规则的并集

这地方修改一下:

1. 默认使用 default 用户代替原来的 admin 用户 来作为 拥有最高权限的用户
2. 在启动的时候, 判断一下, 如果 blacklist 是空的, 那么久不用初始化 命令受限的用户了

1、limit 用户我们现在默认叫“admin”，即pika会内置 “default”和“admin” 这俩用户 2、按照之前 pika 的逻辑，requirepass 应该是 admin 用户的，userpass 是 default 用户的。 3、black-list 只针对默认用的用户，即 default 和 admin 用户；acl 规则理论上不动这俩默认用户，black-list 会被翻译成 acl 的语法，就当是用户多配置了几条 acl 规则

1. 我的意思是 用 default 代替 admin, 以后pika中不会有 admin这个用户了, default 是最高权限的用户, 也是默认用户, 这样可以和redis保持一致, 否则, 一些测试用例可能要修改
2. 这个是没问题的, requirepass是最高权限用户的密码
3. blacklist 应该是只针对, pika创建的 那个功能受限的用户, 假设叫 limit, ACL规则 理论上不动这俩用户 没懂什么意思, 后续使用 ACL setuser 命令 不能修改 这两个用户吗? ack-list 会被翻译成 acl 的语法，就当是用户多配置了几条ad规则 这个是没问题的, 假设创建的那个功能受限的用户命令是 limit, 在 pika.conf文件里有一条 user : limit on >123 ~* +@all -flush 这个规则, 然后 blacklist中配置了 flushdb,shutdown, 最后再给 limit 设置规则时, 用这两个的并集? 再极端一点, 如果pika.conf 里 user : limit的规则和blacklist里配置的冲突了, 怎么解决, 如果配置了多条怎么解决, 执行了 ACL SAVE 是否把这两个用户的规则 保存, 以及保存后重新加载, 这些都需要考虑

这个 limit 用户可以是为了兼容以前的 userpass 和 blacklist 默认产生的一个用户，如果想用使用 acl ，那么user的用户名不可以是 limit 。这样可不可以？
我没有考虑到 save 后的重新加载，如果在 save 的时候跳过 limit 用户，这样重新加载的时候就可以重新初始化一个 limit 用户，而不从文件中加载，是否可行。

[lqxhub]

ACL 兼容以前的方案
基本和这个pr的内容一致, 在 pika启动的时候, 除了 要初始化原来 default用户外, 还要判断一下, 配置中的 blacklist 是否为空, 如果不为空, 那么需要再初始化一个 命令受限的用户, 比如 limit. 在启动后, 根据 配置中的 requirepass 来设置 default 用户的 密码, 使用 配置中的 userpass 来设置 limit用户的密码, 后续使用 CONFIG 命令来修改 密码时, 不能修改, 只能使用 ACL 的命令来修改. 使用 ACL命令修改 用户密码时, 也不要 修改 配置中 requirepass 和 userpass
下面需要讨论待定:

1. 如果在配置 或者 ACL的配置文件中有多行 limit 相关的配置, 是否和 加载default用户一样, 提示启动失败
2. 如果同时配置了 limit 用户的 ACL规则 和 blacklist, 以哪个为准, 还是说取两个规则的并集

这地方修改一下:

1. 默认使用 default 用户代替原来的 admin 用户 来作为 拥有最高权限的用户
2. 在启动的时候, 判断一下, 如果 blacklist 是空的, 那么久不用初始化 命令受限的用户了

1、limit 用户我们现在默认叫“admin”，即pika会内置 “default”和“admin” 这俩用户 2、按照之前 pika 的逻辑，requirepass 应该是 admin 用户的，userpass 是 default 用户的。 3、black-list 只针对默认用的用户，即 default 和 admin 用户；acl 规则理论上不动这俩默认用户，black-list 会被翻译成 acl 的语法，就当是用户多配置了几条 acl 规则

1. 我的意思是 用 default 代替 admin, 以后pika中不会有 admin这个用户了, default 是最高权限的用户, 也是默认用户, 这样可以和redis保持一致, 否则, 一些测试用例可能要修改
2. 这个是没问题的, requirepass是最高权限用户的密码
3. blacklist 应该是只针对, pika创建的 那个功能受限的用户, 假设叫 limit, ACL规则 理论上不动这俩用户 没懂什么意思, 后续使用 ACL setuser 命令 不能修改 这两个用户吗? ack-list 会被翻译成 acl 的语法，就当是用户多配置了几条ad规则 这个是没问题的, 假设创建的那个功能受限的用户命令是 limit, 在 pika.conf文件里有一条 user : limit on >123 ~* +@all -flush 这个规则, 然后 blacklist中配置了 flushdb,shutdown, 最后再给 limit 设置规则时, 用这两个的并集? 再极端一点, 如果pika.conf 里 user : limit的规则和blacklist里配置的冲突了, 怎么解决, 如果配置了多条怎么解决, 执行了 ACL SAVE 是否把这两个用户的规则 保存, 以及保存后重新加载, 这些都需要考虑

这个 limit 用户可以是为了兼容以前的 userpass 和 blacklist 默认产生的一个用户，如果想用使用 acl ，那么user的用户名不可以是 limit 。这样可不可以？ 我没有考虑到 save 后的重新加载，如果在 save 的时候跳过 limit 用户，这样重新加载的时候就可以重新初始化一个 limit 用户，而不从文件中加载，是否可行。

这个不能用 ACL命令操作 limit 用户, save的时候跳过 limit, 这样会需要很多额外的判断, 而且会和redis不兼容

我觉的最简单的方式就是 在启动的时候, 用 blacklist 的规则初始化一个 limit用户, 后续就和 default 用户一样了, 哪怕是执行 ACL SETUSER limit +@ALL等等操作 也一样执行就行了, 但是为了安全, limit需要和 default一样, 不能被删除. 至于加载的优先级, 可以强制用 blacklist的规则覆盖 limit 的规则

[dingxiaoshuai123]

检查一下 config rewrite 、config set get 相关的兼容性。

[luky116]

检查一下 config rewrite 、config set get 相关的兼容性。

1、config get 已支持 userblacklist
2、config rewrite：已支持 userblacklist
3、config set：不支持 userblacklist，通过 acl 的命令去操作即可

[dingxiaoshuai123]

[lqxhub]

DefaultLimitUser 应该和 default 用户一样,也是不能被删除的, ACL DELUSER 命令那里 应该判断一下,