The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

PostgreSQL: безопасность на уровне строк (row level security)
Некоторые базы данных, такие как MSSQL и MySQL5, имеют специальные механизмы
для разграничения доступа
пользователей к различным ресурсам БД вплоть до ячеек таблиц. PostgreSQL не
нуждается в таких излишествах.
На практике обычно требуется разграничить доступ на уровне строк. Для того, что
бы сделать это, есть простой способ,
основанный на использовании представлений, правил и функции current_user() или эквивалентного ей 
ключевого слова user.

Создадим любую таблицу от имени 'postgres', в которой обязательно должно присутствовать поле 
для хранения логина:

   CREATE TABLE table1
   (
     fio text NOT NULL,
     name text,
     something integer,
     login text,
     CONSTRAINT table1_pkey PRIMARY KEY (fio)
   ) 
   WITHOUT OIDS;
   ALTER TABLE table1 OWNER TO postgres;

Ни один пользователь не имеет никаких привилегий на эту таблицу.

Создадим представление, и дадим необходимым пользователям некоторые привилегии:

   CREATE OR REPLACE VIEW table1v AS 
    SELECT table1.fio, table1.name, table1.something
      FROM table1
     WHERE table1.login = user;
   ALTER TABLE table1v OWNER TO postgres;
   GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE table1v TO math_user;

Создадим три правила - для вставки, обновления и удаления строк из представления:

   CREATE OR REPLACE RULE add AS
       ON INSERT TO table1v DO INSTEAD  INSERT INTO table1 (fio, name, something, login) 
     VALUES (new.fio, new.name, new.something, user);

   CREATE OR REPLACE RULE upd AS
       ON UPDATE TO table1v DO INSTEAD  UPDATE table1 SET fio = new.fio, name = new.name, something = new.something, login = user
     WHERE table1.login = user;

   CREATE OR REPLACE RULE del AS
       ON DELETE TO table1v DO INSTEAD  DELETE FROM table1 where login=user;

Готово! Теперь пользователь math_user может просматривать или удалять только свои записи 
и вставлять или изменять записи только под своим именем.
 
21.05.2007 , Автор: FLUF
Ключи: postgresql, sql, limit, security / Лицензия: CC-BY
Раздел:    Корень / Программисту и web-разработчику / SQL и базы данных / PostgreSQL специфика / Оптимизация и администрирование PostgreSQL

Обсуждение [ RSS ]
 
  • 1.1, Zert, 09:36, 22/05/2007 [ответить] [смотреть все]
  • +/
    Более уместным будет acl или группы доступа.
     
     
  • 2.2, mistatog, 07:13, 23/05/2007 [^] [ответить] [смотреть все]
  • +/
    А можете поподробнее написать про acl и группы безопасности, сейчас как раз на постгресе делаю небольшой проект, очень понадобилось бы.
     
     
  • 3.3, Zert, 10:37, 23/05/2007 [^] [ответить] [смотреть все]
  • +/
    Да Вы сами практически всё написали, а для привязки к этой схеме (одна строка - один юзер) групп пользователей надо добавить лишь дополнительное поле под группу и модифицировать правила под это дело. А с acl я немного погорячился, это, пожалуй, даст увеличение сложности сущностей без сопоставимых результатов.
     
     
  • 4.4, mistatog, 09:45, 24/05/2007 [^] [ответить] [смотреть все]
  • +/
    Спасибо. Продолжаю, дальше изучать замечательную СУБД postgres
     
  • 4.5, FLUF, 13:07, 27/05/2007 [^] [ответить] [смотреть все]
  • +/
    ACL - это лист доступа? Тогда ты совсем погорячился ^_^ Привилегии можно поставить на то, что имеет OID. Строки в pg OID-а не имеют. И потому привилегии на конкретную строку поставить нелься. А в других БД можно. Но в pg это и не нужно, потому что это можно реализовать через вьюшки и всё прекрасно и надёжно.
    Идею я взял с забугорного сайта. Там чел сдела так, что бы юзверь не мог удалить из таблицы не свои строки. Я прибавил к этому, что бы он их и прочитать (select) не мог.
     
     
  • 5.6, illi, 12:18, 13/06/2007 [^] [ответить] [смотреть все]  
  • +/
    >ACL - это лист доступа? Тогда ты совсем погорячился ^_^ Привилегии можно
    >поставить на то, что имеет OID. Строки в pg OID-а не
    >имеют.

    Ну, это не совсем так:
    uadm=# create table test (tt int4) WITH OIDS;
    CREATE TABLE
    uadm=# INSERT INTO test VALUES (11);
    INSERT 2031626 1
    uadm=# select * from test;
    tt
    ----
    11

    uadm=# select oid from test;
       oid
    ---------
    2031626
    Просто _СЕЙЧАС_ они не имеют oid-а в созданных по дефолту таблицах.
    Раньше(не помню, до какой версии) дефолтом создавались с OID.
    И - oid по "select *" не возвращается.

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor