当前已实施的 SASL 机制为 SCRAM-SHA-256 和其具有 channel binding 的变体 SCRAM-SHA-256-PLUS。它们在 RFC 7677 和 RFC 5802 中进行了详细描述。

当在 PostgreSQL 中使用 SCRAM-SHA-256 时，服务器将忽略客户端在 client-first-message 中发送的用户名。而使用启动消息中已发送的用户名。虽然 PostgreSQL 支持多种字符编码，而 SCRAM 规定将 UTF-8 用于用户名，因此可能无法在 UTF-8 中表示 PostgreSQL 用户名。

SCRAM 规范规定密码也必须为 UTF-8，并且需要使用 SASLprep 算法进行处理。然而，PostgreSQL 不需要对密码使用 UTF-8。当设置用户的密码时，它将使用 SASLprep 处理密码，无论使用的是哪种实际编码。但是，如果这不是合法的 UTF-8 字节序列，或者它包含 SASLprep 算法禁止的 UTF-8 字节序列，则将使用原始密码，而不会进行 SASLprep 处理，也不会引发错误。这允许在 UTF-8 中对密码进行规范化，但仍然允许使用非 UTF-8 密码，并且不需要系统知道密码采用的是哪种编码。

Channel binding 在支持 SSL 的 PostgreSQL 版本中受到支持。具有 channel binding 的 SCRAM 的 SASL 机制名称为 SCRAM-SHA-256-PLUS。PostgreSQL 使用的 channel binding 类型是 tls-server-end-point。

在SCRAM如果未使用通道绑定，服务器会选择一个随机数传输给客户端，并将其与用户提供的密码混合成传输的密码哈希。虽然这可以防止密码哈希在后续会话中被成功再次传输，但却无法防止真正的服务器与客户端之间的虚假服务器传递服务器的随机值并成功通过身份验证。

SCRAM使用通道绑定可通过将服务器证书的签名混合到传输的密码哈希中来防止此类中间人攻击。虚假服务器虽然可以再次传输真正的服务器证书，但它无权访问与该证书匹配的私钥，因此无法证明自己是所有者，从而导致 SSL 连接失败。