URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 37492
[ Назад ]

Исходное сообщение
"Раздел полезных советов: PostgreSQL: безопасность на уровне строк (row level security)"

Отправлено auto_tips , 22-Май-07 09:36 
Некоторые базы данных, такие как MSSQL и MySQL5, имеют специальные механизмы для разграничения доступа
пользователей к различным ресурсам БД вплоть до ячеек таблиц. PostgreSQL не нуждается в таких излишествах.
На практике обычно требуется разграничить доступ на уровне строк. Для того, что бы сделать это, есть простой способ,
основанный на использовании представлений, правил и функции current_user() или эквивалентного ей
ключевого слова user.

Создадим любую таблицу от имени 'postgres', в которой обязательно должно присутствовать поле
для хранения логина:

   CREATE TABLE table1
   (
     fio text NOT NULL,
     name text,
     something integer,
     login text,
     CONSTRAINT table1_pkey PRIMARY KEY (fio)
   )
   WITHOUT OIDS;
   ALTER TABLE table1 OWNER TO postgres;

Ни один пользователь не имеет никаких привилегий на эту таблицу.

Создадим представление, и дадим необходимым пользователям некоторые привилегии:

   CREATE OR REPLACE VIEW table1v AS
    SELECT table1.fio, table1.name, table1.something
      FROM table1
     WHERE table1.login = user;
   ALTER TABLE table1v OWNER TO postgres;
   GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE table1v TO math_user;

Создадим три правила - для вставки, обновления и удаления строк из представления:

   CREATE OR REPLACE RULE add AS
       ON INSERT TO table1v DO INSTEAD  INSERT INTO table1 (fio, name, something, login)
     VALUES (new.fio, new.name, new.something, user);

   CREATE OR REPLACE RULE upd AS
       ON UPDATE TO table1v DO INSTEAD  UPDATE table1 SET fio = new.fio, name = new.name, something = new.something, login = user
     WHERE table1.login = user;

   CREATE OR REPLACE RULE del AS
       ON DELETE TO table1v DO INSTEAD  DELETE FROM table1 where login=user;

Готово! Теперь пользователь math_user может просматривать или удалять только свои записи
и вставлять или изменять записи только под своим именем.


URL:
Обсуждается: https://www.opennet.ru/tips/info/1420.shtml


Содержание

Сообщения в этом обсуждении
"PostgreSQL: безопасность на уровне строк (row level security)"
Отправлено Zert , 22-Май-07 09:36 
Более уместным будет acl или группы доступа.

"PostgreSQL: безопасность на уровне строк (row level security..."
Отправлено mistatog , 23-Май-07 07:13 
А можете поподробнее написать про acl и группы безопасности, сейчас как раз на постгресе делаю небольшой проект, очень понадобилось бы.

"PostgreSQL: безопасность на уровне строк (row level security..."
Отправлено Zert , 23-Май-07 10:37 
Да Вы сами практически всё написали, а для привязки к этой схеме (одна строка - один юзер) групп пользователей надо добавить лишь дополнительное поле под группу и модифицировать правила под это дело. А с acl я немного погорячился, это, пожалуй, даст увеличение сложности сущностей без сопоставимых результатов.

"PostgreSQL: безопасность на уровне строк (row level security..."
Отправлено mistatog , 24-Май-07 09:45 
Спасибо. Продолжаю, дальше изучать замечательную СУБД postgres

"PostgreSQL: безопасность на уровне строк (row level security..."
Отправлено FLUF , 27-Май-07 13:07 
ACL - это лист доступа? Тогда ты совсем погорячился ^_^ Привилегии можно поставить на то, что имеет OID. Строки в pg OID-а не имеют. И потому привилегии на конкретную строку поставить нелься. А в других БД можно. Но в pg это и не нужно, потому что это можно реализовать через вьюшки и всё прекрасно и надёжно.
Идею я взял с забугорного сайта. Там чел сдела так, что бы юзверь не мог удалить из таблицы не свои строки. Я прибавил к этому, что бы он их и прочитать (select) не мог.

"PostgreSQL: безопасность на уровне строк (row level security..."
Отправлено illi , 13-Июн-07 12:18 
>ACL - это лист доступа? Тогда ты совсем погорячился ^_^ Привилегии можно
>поставить на то, что имеет OID. Строки в pg OID-а не
>имеют.

Ну, это не совсем так:
uadm=# create table test (tt int4) WITH OIDS;
CREATE TABLE
uadm=# INSERT INTO test VALUES (11);
INSERT 2031626 1
uadm=# select * from test;
tt
----
11

uadm=# select oid from test;
   oid
---------
2031626
Просто _СЕЙЧАС_ они не имеют oid-а в созданных по дефолту таблицах.
Раньше(не помню, до какой версии) дефолтом создавались с OID.
И - oid по "select *" не возвращается.