在PgCat中实现类似PgBouncer的认证查询功能

PgCat作为PostgreSQL连接池工具，提供了与PgBouncer类似的认证查询功能，允许通过一个专门配置的认证用户来验证其他数据库用户的凭据，而无需在配置文件中硬编码所有用户的密码。本文将详细介绍如何正确配置PgCat实现这一功能。

认证查询的基本原理

认证查询的核心思想是：当客户端连接时，PgCat会使用预先配置的认证用户连接到PostgreSQL数据库，执行指定的查询语句来验证客户端提供的用户名和密码是否有效。这种方式避免了在PgCat配置文件中存储所有用户的明文密码，提高了安全性。

关键配置项

要实现认证查询功能，需要在PgCat配置文件的pool部分设置以下关键参数：

[pools.your_pool_name]
auth_query = "SELECT usename, passwd FROM user_search('$1')"
auth_query_user = "auth_user"
auth_query_password = "auth_user_password"

这些配置项必须直接放在pool配置下，而不是放在users或shards子节中。

认证查询函数的实现

认证查询需要返回两个字段：用户名和密码哈希值。通常需要创建一个函数或视图来实现这一功能。例如：

CREATE OR REPLACE FUNCTION user_search(input_username text)
RETURNS TABLE(usename name, passwd text) AS $$
BEGIN
    RETURN QUERY 
    SELECT usename, passwd FROM pg_authid 
    WHERE usename = input_username::name;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;

这个函数查询pg_authid系统视图，返回指定用户的密码哈希值。SECURITY DEFINER允许函数以创建者的权限执行，即使调用者没有直接访问pg_authid的权限。

用户配置注意事项

在配置认证查询时，需要注意以下几点：

1. 认证用户(auth_query_user)必须具有LOGIN权限
2. 目标用户的密码必须使用MD5哈希格式存储（目前不支持SCRAM-SHA-256）
3. 在users配置节中，目标用户不需要配置密码字段

示例用户配置：

[pools.your_pool_name.users.0]
username = "app_user"
# 不需要password字段

常见问题排查

如果认证查询不工作，可以检查以下几个方面：

1. 确认认证查询SQL语句正确，特别是占位符$1需要放在单引号中
2. 验证认证用户是否有权限执行查询函数
3. 检查目标用户的密码是否使用MD5格式存储
4. 确保所有相关用户都有LOGIN权限

通过以上配置，PgCat可以实现与PgBouncer类似的灵活认证机制，既保证了安全性，又简化了用户管理。