Некоторые базы данных, такие как MSSQL и MySQL5, имеют специальные механизмы для разграничения доступа
пользователей к различным ресурсам БД вплоть до ячеек таблиц. PostgreSQL не нуждается в таких излишествах.
На практике обычно требуется разграничить доступ на уровне строк. Для того, что бы сделать это, есть простой способ,
основанный на использовании представлений, правил и функции current_user() или эквивалентного ей
ключевого слова user.Создадим любую таблицу от имени 'postgres', в которой обязательно должно присутствовать поле
для хранения логина:CREATE TABLE table1
(
fio text NOT NULL,
name text,
something integer,
login text,
CONSTRAINT table1_pkey PRIMARY KEY (fio)
)
WITHOUT OIDS;
ALTER TABLE table1 OWNER TO postgres;Ни один пользователь не имеет никаких привилегий на эту таблицу.
Создадим представление, и дадим необходимым пользователям некоторые привилегии:
CREATE OR REPLACE VIEW table1v AS
SELECT table1.fio, table1.name, table1.something
FROM table1
WHERE table1.login = user;
ALTER TABLE table1v OWNER TO postgres;
GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE table1v TO math_user;Создадим три правила - для вставки, обновления и удаления строк из представления:
CREATE OR REPLACE RULE add AS
ON INSERT TO table1v DO INSTEAD INSERT INTO table1 (fio, name, something, login)
VALUES (new.fio, new.name, new.something, user);CREATE OR REPLACE RULE upd AS
ON UPDATE TO table1v DO INSTEAD UPDATE table1 SET fio = new.fio, name = new.name, something = new.something, login = user
WHERE table1.login = user;CREATE OR REPLACE RULE del AS
ON DELETE TO table1v DO INSTEAD DELETE FROM table1 where login=user;Готово! Теперь пользователь math_user может просматривать или удалять только свои записи
и вставлять или изменять записи только под своим именем.
URL:
Обсуждается: https://www.opennet.ru/tips/info/1420.shtml
Более уместным будет acl или группы доступа.
А можете поподробнее написать про acl и группы безопасности, сейчас как раз на постгресе делаю небольшой проект, очень понадобилось бы.
Да Вы сами практически всё написали, а для привязки к этой схеме (одна строка - один юзер) групп пользователей надо добавить лишь дополнительное поле под группу и модифицировать правила под это дело. А с acl я немного погорячился, это, пожалуй, даст увеличение сложности сущностей без сопоставимых результатов.
Спасибо. Продолжаю, дальше изучать замечательную СУБД postgres
ACL - это лист доступа? Тогда ты совсем погорячился ^_^ Привилегии можно поставить на то, что имеет OID. Строки в pg OID-а не имеют. И потому привилегии на конкретную строку поставить нелься. А в других БД можно. Но в pg это и не нужно, потому что это можно реализовать через вьюшки и всё прекрасно и надёжно.
Идею я взял с забугорного сайта. Там чел сдела так, что бы юзверь не мог удалить из таблицы не свои строки. Я прибавил к этому, что бы он их и прочитать (select) не мог.
>ACL - это лист доступа? Тогда ты совсем погорячился ^_^ Привилегии можно
>поставить на то, что имеет OID. Строки в pg OID-а не
>имеют.Ну, это не совсем так:
uadm=# create table test (tt int4) WITH OIDS;
CREATE TABLE
uadm=# INSERT INTO test VALUES (11);
INSERT 2031626 1
uadm=# select * from test;
tt
----
11uadm=# select oid from test;
oid
---------
2031626
Просто _СЕЙЧАС_ они не имеют oid-а в созданных по дефолту таблицах.
Раньше(не помню, до какой версии) дефолтом создавались с OID.
И - oid по "select *" не возвращается.