SCRAM-SHA-256 及其带通道绑定的变体 SCRAM-SHA-256-PLUS 是基于密码的认证机制。它们在 RFC 7677 和RFC 5802中有详细描述。

当在PostgreSQL中使用SCRAM-SHA-256时，服务器将忽略客户端在client-first-message中发送的用户名。 而是使用已经在启动消息中发送的用户名。 PostgreSQL支持多种字符编码，而SCRAM规定用户名必须使用UTF-8，因此可能无法用UTF-8表示PostgreSQL用户名。

SCRAM规范规定密码也必须是UTF-8编码，并且使用SASLprep算法处理。 然而，PostgreSQL不要求密码必须使用UTF-8编码。 当用户设置密码时，无论实际使用的编码是什么，都会像使用UTF-8一样使用SASLprep进行处理。 但是，如果密码不是合法的UTF-8字节序列，或者包含SASLprep算法禁止的UTF-8字节序列， 则会使用原始密码而不进行SASLprep处理，而不是抛出错误。这样可以在密码为UTF-8时对其进行规范化， 但仍允许使用非UTF-8密码，并且不需要系统知道密码使用的编码方式。

Channel binding在支持SSL的PostgreSQL构建中受支持。带有通道绑定的SCRAM的SASL机制名称是 SCRAM-SHA-256-PLUS。PostgreSQL使用的通道绑定类型是 tls-server-end-point。

在没有通道绑定的SCRAM中，服务器选择一个随机数， 传输给客户端，与用户提供的密码在传输的密码哈希中混合。虽然这可以 防止密码哈希在后续会话中被成功重新传输，但无法阻止真实服务器和客 户端之间的虚假服务器通过服务器的随机值并成功进行认证。

SCRAM与通道绑定一起防止这种中间人攻击，通过将服务器证书的签名混合到传输的密码哈希中。 虽然伪造服务器可以重新传输真实服务器的证书，但它无法访问与该证书匹配的私钥，因此无法证明自己是所有者，导致SSL连接失败。