SCRAM-SHA-256、およびそのチャネルバインディング版SCRAM-SHA-256-PLUS、はパスワードベースの認証メカニズムです。 RFC 7677およびRFC 5802で詳細に説明されています。

PostgreSQLでSCRAM-SHA-256を使用する場合、クライアントがclient-first-messageで送信するユーザ名をサーバは無視します。 その代わりに、開始メッセージで送信済みのユーザ名が使用されます。 SCRAMはユーザ名としてUTF-8の使用を指示していますが、PostgreSQLは複数の文字符号化方式をサポートするため、PostgreSQLのユーザ名をUTF-8で表現できないかもしれません。

SCRAMの仕様ではパスワードもUTF-8であり、SASLprepアルゴリズムで処理されることが規定されています。 しかしPostgreSQLではパスワードにUTF-8が使用されることを必須としていません。 ユーザのパスワードが設定されたとき、実際に使用された符号化方式に関わらず、それがUTF-8であるかのようにSASLprepで処理されます。 しかし、それが正当なUTF-8バイト列でない場合、あるいはSASLprepが禁止するUTF-8バイト列を含む場合、エラーを発生させるのではなく、SASLprep処理のない生のパスワードが使用されます。 これにより、パスワードがUTF-8であればそれを正規化できる一方で、UTF-8以外のパスワードを使用することもでき、またシステムもパスワードがどの符号化であるかを知る必要もありません。

SSLをサポートするPostgreSQLビルドでチャネルバインディングがサポートされます。 チャネルバインディングを伴うSCRAMに対するSASL機構名はSCRAM-SHA-256-PLUSです。 PostgreSQLで使われるチャネルバインディングのタイプはtls-server-end-pointです。

チャネルバインディングを伴わないSCRAMではサーバは、送信されるパスワードハッシュの中でユーザに応じたパスワードと混合してクライアントに送る乱数を選びます。 これはパスワードハッシュが後のセッションで再送信されて認証に成功してしまうことを防止しますが、真のサーバとクライアントの間の偽サーバがサーバのランダム値を中継して認証に成功してしまうことを防止しません。

チャネルバインディングを伴うSCRAMはこのような中間者攻撃をサーバ証明書のシグネチャを送信されるパスワードハッシュと混合することで防止します。 偽サーバは真のサーバの証明書を再送信できますが、その証明書に一致する秘密鍵にアクセスできず、それゆえ所有者であることを証明できず、結果としてSSL接続は失敗します。

OAUTHBEARERは、トークンベースのフェデレーション認証のメカニズムです。 詳細はRFC 7628に記載されています。

典型的な交換は、クライアントがそのユーザ用にキャッシュされたベアラ（bearer）トークンをすでに持っているかどうかによって異なります。 持っていない場合、交換は2つの接続で行われます。 最初の「ディスカバリ」コネクションはサーバからOAuthメタデータを取得し、2番目のコネクションはクライアントがそれを取得した後にトークンを送信します。 （libpqは現在、組み込みフローの一部としてキャッシングメソッドを実装していないため、2つのコネクション交換を使用します。）

このメカニズムは、SCRAMと同様にクライアント主導型です。 クライアント初期応答は、SCRAMで使用される標準の「GS2」ヘッダと、それに続くkey=valueペアのリストで構成されます。 現在サーバでサポートされている唯一のキーはauthで、ベアラトークンを含んでいます。 さらにOAUTHBEARERは、クライアント初期応答の3つのオプショナルコンポーネント（GS2ヘッダのauthzidと、現在サーバで無視されているhostおよびportキー）を指定します。

OAUTHBEARERチャネルバインディングをサポートしておらず、「OAUTHBEARER-PLUS」メカニズムもありません。 このメカニズムは、認証の成功時にサーバデータを使用しないため、AuthenticationSASLFinalメッセージはやり取りで使用されません。