postgREST 角色授权文档整理

最新推荐文章于 2024-07-30 14:16:26 发布
最新推荐文章于 2024-07-30 14:16:26 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: PostgREST
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henjuewang/article/details/81011968
版权

说明

使用postgrest进行角色的jwt token加密,验证和授权。

过程

一.准备工作

以下都在pg shell中执行

1. 开启pgcrypto扩展

create extension if not exists pgcrypto;

2. 使用pgjwt函数定义

CREATE OR REPLACE FUNCTION url_encode(data bytea) RETURNS text LANGUAGE sql AS $$
    SELECT translate(encode(data, 'base64'), E'+/=\n', '-_');
$$;


CREATE OR REPLACE FUNCTION url_decode(data text) RETURNS bytea LANGUAGE sql AS $$
WITH t AS (SELECT translate(data, '-_', '+/') AS trans),
     rem AS (SELECT length(t.trans) % 4 AS remainder FROM t) -- compute padding size
    SELECT decode(
        t.trans ||
        CASE WHEN rem.remainder > 0
           THEN repeat('=', (4 - rem.remainder))
           ELSE '' END,
    'base64') FROM t, rem;
$$;



CREATE OR REPLACE FUNCTION algorithm_sign(signables text, secret text, algorithm text)
RETURNS text LANGUAGE sql AS $$
WITH
  alg AS (
    SELECT CASE
      WHEN algorithm = 'HS256' THEN 'sha256'
      WHEN algorithm = 'HS384' THEN 'sha384'
      WHEN algorithm = 'HS512' THEN 'sha512'
      ELSE '' END AS id)  -- hmac throws error
SELECT url_encode(hmac(signables, secret, alg.id)) FROM alg;
$$;


CREATE OR REPLACE FUNCTION sign(payload json, secret text, algorithm text DEFAULT 'HS256')
RETURNS text LANGUAGE sql AS $$
WITH
  header AS (
    SELECT url_encode(convert_to('{"alg":"' || algorithm || '","typ":"JWT"}', 'utf8')) AS data
    ),
  payload AS (
    SELECT url_encode(convert_to(payload::text, 'utf8')) AS data
    ),
  signables AS (
    SELECT header.data || '.' || payload.data AS data FROM header, payload
    )
SELECT
    signables.data || '.' ||
    algorithm_sign(signables.data, secret, algorithm) FROM signables;
$$;


CREATE OR REPLACE FUNCTION verify(token text, secret text, algorithm text DEFAULT 'HS256')
RETURNS table(header json, payload json, valid boolean) LANGUAGE sql AS $$
  SELECT
    convert_from(url_decode(r[1]), 'utf8')::json AS header,
    convert_from(url_decode(r[2]), 'utf8')::json AS payload,
    r[3] = algorithm_sign(r[1] || '.' || r[2], secret, algorithm) AS valid
  FROM regexp_split_to_array(token, '\.') r;
$$;

二.建立用户密码表和加密方法

函数和触发器将存在于:code:basic_auth模式中,您不应在API中公开公开。 公共视图和函数将存在于不同的模式中,该模式在内部引用此内部信息。

1.建立用户密码表

-- 我们将内容置于basic_auth模式中,
-- 以将其隐藏在公共视图中。
-- 某些公共过程/视图将引用内部的帮助程序和表。
create schema if not exists basic_auth;

create table if not exists
basic_auth.users (
  email    text primary key check ( email ~* '^.+@.+\..+$' ),
  pass     text not null check (length(pass) < 512),
  role     name not null check (length(role) < 512)
);

2.触发器

我们希望该角色role是实际数据库角色的外键,但是PostgreSQL不支持对:code:pg_roles表的这些约束。 我们将使用触发器手动强制执行它。

create or replace function
basic_auth.check_role_exists() returns trigger
  language plpgsql
  as $$
begin
  if not exists (select 1 from pg_roles as r where r.rolname = new.role) then
    raise foreign_key_violation using message =
      'unknown database role: ' || new.role;
    return null;
  end if;
  return new;
end
$$;

drop trigger if exists ensure_user_role_exists on basic_auth.users;
create constraint trigger ensure_user_role_exists
  after insert or update on basic_auth.users
  for each row
  execute procedure basic_auth.check_role_exists();

3.密码保密

使用pgcrypto扩展和触发器来保密密码:users表。

create or replace function
basic_auth.encrypt_pass() returns trigger
  language plpgsql
  as $$
begin
  if tg_op = 'INSERT' or new.pass <> old.pass then
    new.pass = crypt(new.pass, gen_salt('bf'));
  end if;
  return new;
end
$$;

drop trigger if exists encrypt_pass on basic_auth.users;
create trigger encrypt_pass
  before insert or update on basic_auth.users
  for each row
  execute procedure basic_auth.encrypt_pass();

4.用户密码来返回角色

检查加密列的密码。 如果电子邮件和密码正确,它将返回用户的数据库角色。

create or replace function
basic_auth.user_role(email text, pass text) returns name
  language plpgsql
  as $$
begin
  return (
  select role from basic_auth.users
   where users.email = user_role.email
     and users.pass = crypt(user_role.pass, users.pass)
  );
end;
$$;

三.登录访问

通过上面的操作,我们创建了一个用于存储用户信息的内部表。 在这里,我们创建一个登录函数,它接受一个电子邮件地址和密码,如果凭据与内部表中的用户匹配,则返回JWT。

1.登录

JWT from SQL中所述,我们将在登录函数中创建一个JWT。 注意,需要将此示例中硬编码的密钥调整为您自己的安全密钥。

create or replace function
login(email text, pass text) returns basic_auth.jwt_token
  language plpgsql
  as $$
declare
  _role name;
  result basic_auth.jwt_token;
begin
  -- check email and password
  select basic_auth.user_role(email, pass) into _role;
  if _role is null then
    raise invalid_password using message = 'invalid user or password';
  end if;

  select sign(
      row_to_json(r), 'mysecret'
    ) as token
    from (
      select _role as role, login.email as email,
         extract(epoch from now())::integer + 60*60 as exp
    ) r
    into result;
  return result;
end;
$$;

前端调用此函数API,POST请求如下:

POST /rpc/login HTTP/1.1

{ "email": "foo@bar.com", "pass": "foobar" }

响应看起来像下面的代码段。 尝试在jwt.io https://jwt.io/解码令牌。 (它的编码带有以下秘钥:mysecret,如上面的SQL代码中所指定的。在你的应用程序中更改这个秘钥!)

2.注册权限

您的数据库角色需要访问模式,表,视图和函数才能为HTTP请求提供服务。 回想一下“角色系统概述”_,PostgREST使用特殊角色来处理请求,即身份验证者和匿名角色。 以下是允许匿名用户创建帐户并尝试登录的权限示例。

-- 名称“anon”和“authenticator”是可配置的
-- 而不是关键词,我们只是为了清晰起见而选择它们
create role anon;
create role authenticator noinherit;
grant anon to authenticator;

grant usage on schema public, basic_auth to anon;
grant select on table pg_authid, basic_auth.users to anon;
grant execute on function login(text,text) to anon;

您可能会担心,匿名用户可以从:basic_auth.users表中读取所有内容。 但是,此表不适用于直接查询,因为它位于单独的架构中。 匿名角色需要访问,因为public:users视图使用调用用户的权限读取基础表。 但我们已确保视图正确限制对敏感信息的访问。

henjuewang
关注
专栏目录
VUE+PostgreSQL+PostgREST实现用户权限安全分级-附件资源
03-02
VUE+PostgreSQL+PostgREST实现用户权限安全分级-附件资源
postgrest-js:用于PostgREST的同构JavaScript客户端
04-29
完整的文档可以在我们的上。 快速开始 安装 npm install @supabase/postgrest-js 用法 import { PostgrestClient } from '@supabase/postgrest-js' const REST_URL = 'http://localhost:3000' const postgrest = ...
postgrestpostgreSQL权限认证
weixin_43667400的博客
04-15 1319
前面我们说了如何从0搭建postgrestpostgresql服务,当服务搭起来后没有权限认证肯定是用不的,这节将讲解如何搭建权限认证。pg是通过jwt进行权限认证。 首先要将pg所要用的jwt上传到pg服务器当中。 此处获取插件。postgrestpostgresql权限认证,jwt插件-CentOS文档类资源-CSDN下载这是postgresql使用权限控制的插件,若是没有这个插件就无法正常工作。更多下载资源、学习资料请访问CSDN下载频道.https://download.csdn.net/d
PostgreSQL——特性详解
最新发布
L1758的博客
07-30 741
依照PostgreSQL的特性,解释了什么是PostgreSQL
VUE+PostgreSQL+PostgREST实现用户权限安全分级
DJun的博客
12-10 2989
最近在做一个工厂的项目,在这个项目里面需要给用户设置一些权限,比如说普通员工只能录入数据不能修改、普通管理员可以查看和修改、超级管理员可以给其他用户设置有哪些权限。以下内容是我们团队完成权限验证之后的浓缩总结。PostgREST不知道是啥的话,还是点击这里补脑吧!(官方文档实在看不懂的话.......关于PostgREST的中文文档,我们团队已翻译处理,后续也会放在文末分享给大家。)
使用Postgrest快速创建数据库的OpenAPI接口
guo1wu3shi4的专栏
06-12 770
下载镜像 docker pull postgrest/postgrest 正确运行需要修改postgrest配置文件。可以修改镜像中的配置文件/etc/postgrest.conf,或者修改运行的环境变量(具有“PGRST_”前缀)。使用下面命令可以查看系统的环境变量: docker inspect -f "{{.Config.Env}}" postgrest/pos...
使用PostgRESTRestAPI操作之角色系统教程
YunWisdom
12-14 1165
角色系统概述 PostgREST旨在使数据库始终处于API安全性的中心。所有授权都是通过数据库角色和权限进行的。PostgREST的工作是对请求进行身份验证(即验证客户端是否是他们所说的身份),然后让数据库对客户端操作进行授权。 验证顺序 PostgREST使用三种角色,身份验证者,匿名角色和用户角色。数据库管理员创建这些角色,并将PostgREST配置为使用它们。 应该NOIN...
postgrest:适用于任何Postgres数据库的REST API
02-04
PostgREST提供任何现有PostgreSQL数据库中的完全RESTful API。 它提供了比您可能从头开始编写的更干净,更符合标准的API,更快的API。 赞助商 非常感谢我们的赞助商! 你可以通过支持PostgREST加入他们的行列 。 ...
postgrest-starter-kit:用于使用PostgREST编写REST API后端的入门工具包和工具
02-01
PostgREST入门套件 使用编写REST API后端的基础项目和工具。 目的 PostgREST提供了一种不同的方式来构建数据驱动的API后端。 它做得“不错”,即为您提供数据库上的REST api,但是构建一个复杂的生产系统,该系统...
postgrest-kt:Postgrest Kotlin客户
05-23
Kotlin Client for PostgREST 用于Kotlin JVM客户端 安装 玛文 < groupId>io.supabase < artifactId>postgrest-kt < version>{version} < type>pom Gradle implementation 'io.supabase:postgrest-kt:{...
ra-data-postgrest:React管理员客户端的postgrest
05-26
用于React-Admin的PostgREST数据提供程序 PostgREST Data Provider for ,用于在REST / GraphQL服务之上构建管理应用程序的前端框架。 安装 npm install --save @raphiniert/ra-data-postgrest REST方言 该数据提供...
postgrestpostgresql权限认证,jwt插件
04-15
这是postgresql使用权限控制的插件,若是没有这个插件就无法正常工作。
postgrest 简单使用
vah101的专栏
04-17 9395
下载postgresql,可以根据操作系统类型选择二进制包,解压后直接可以使用 https://github.com/begriffs/postgrest 其次,在postgresql中创建账户,并赋予select权限 stock=# create role tester login password '111111'; stock=# create user name passwo
需要一个用于Postgres的UUID生成器?这里有两种设置方法
寒冰屋的专栏
04-01 2707
Postgres比其他一些数据库执行得更好,因为它支持并发写操作而不需要读/写锁。因为它完全符合ACID并提供事务隔离和快照,所以现在许多应用程序都在使用Postgres。不幸的是,虽然PostgreSQL非常适合存储和比较UUID数据,但它缺乏在其核心中创建UUID值的功能。相反,它依赖第三方模块使用指定的技术创建UUID。在本文中,您将通过使用各种函数和模块的示例了解PostgreSQL UUID数据类型以及如何生成UUID值。
Pg extention pgcrypto
HighGO
05-06 1017
目录 文档用途 详细信息 文档用途 了解pgcrypto扩展 详细信息 1.介绍 pgcrypto扩展是pg内核中支持的扩展插件,全部编译后,会扩展目录中找到。 (GP/HGDW也可以安装pgcrypto扩展模块) pgcrypto提供了一组加密函数。可以实现服务器端的数据加密。我们可以在SQL语句中调用这些函数来完成数据的加密 pgcrypto可以加密存储数据,但是读取时无...
PostgREST API 安装及基础使用
XKPP023的博客
07-09 428
PostgREST是一个独立的Web服务器,它将PostgreSQL数据库转换为RESTful API。它提供基于基础数据库的结构自定义的API。
PostgREST入门_数据库直接发布为restful api
henjuewang的博客
06-14 9081
官网 postgrest.org 安装 1.安装postgresql数据库(可用已有数据库) 2.按照文档中教程0,下载解压注册pg的path(否则可能找不到dll)。 3.在psql中新建数据库表和用户权限,新建文本编辑配置文件(连接字符串,角色),运行。 4.浏览器访问返回json...
使用PostgREST的配置教程
YunWisdom
12-14 1727
使用PostgREST的配置教程 配置 PostgREST读取配置文件以确定有关数据库以及如何满足客户端请求的信息。该文件没有预定义的位置,您必须将文件路径指定为服务器的唯一参数: ./postgrest /path/to/postgrest.conf 配置文件必须包含一组键值对。至少您必须包括以下密钥: # postgrest.conf # The stand...
postgrest 中的int2 相当于oracle中的什么?
07-12
PostgreSQL 中,数据类型 int2 相当于 Oracle 中的 NUMBER(2) 或者 SMALLINT 数据类型。int2 是一个 2 字节大小的有符号整数类型,范围为 -32768 到 +32767。在 Oracle 中,可以使用 NUMBER(2) 或者 SMALLINT 数据类型来表示相同的范围。需要注意的是,Oracle 的 NUMBER 数据类型可以支持更大的范围和精度,因此根据实际需求来选择合适的数据类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值