目前实现的SASL机制是SCRAM-SHA-256及其带有通道绑定的变体 SCRAM-SHA-256-PLUS。它们在 RFC 7677 和RFC 5802中有详细描述。

当在 PostgreSQL 中使用 SCRAM-SHA-256 时，服务器将忽略客户端在 client-first-message 中发送的用户名。 而是使用已经在启动消息中发送的用户名。 PostgreSQL 支持多种字符编码，而 SCRAM 规定用户名必须使用 UTF-8， 因此可能无法用 UTF-8 表示 PostgreSQL 用户名。

SCRAM 规范规定密码也必须是 UTF-8 编码，并且使用 SASLprep 算法处理。 然而，PostgreSQL 不要求密码必须使用 UTF-8 编码。 当用户设置密码时，无论实际使用的编码是什么，都会像使用 UTF-8 一样使用 SASLprep 进行处理。 但是，如果密码不是合法的 UTF-8 字节序列，或者包含 SASLprep 算法禁止的 UTF-8 字节序列， 则会使用原始密码而不进行 SASLprep 处理，而不是抛出错误。这样可以在密码为 UTF-8 时对其进行规范化， 但仍允许使用非 UTF-8 密码，并且不需要系统知道密码使用的编码方式。

Channel binding 在支持 SSL 的 PostgreSQL 构建中受支持。 带有通道绑定的 SCRAM 的 SASL 机制名称是 SCRAM-SHA-256-PLUS。 PostgreSQL 使用的通道绑定类型是 tls-server-end-point。

在没有通道绑定的SCRAM中，服务器选择一个随机数， 传输给客户端，与用户提供的密码在传输的密码哈希中混合。虽然这可以 防止密码哈希在后续会话中被成功重新传输，但无法阻止真实服务器和客 户端之间的虚假服务器通过服务器的随机值并成功进行身份验证。

SCRAM与通道绑定一起防止这种中间人攻击，通过将服务器证书的签名混合到传输的密码哈希中。 虽然伪造服务器可以重新传输真实服务器的证书，但它无法访问与该证书匹配的私钥，因此无法证明自己是所有者，导致SSL连接失败。