PostgreSQL 行级安全性策略应用

最新推荐文章于 2022-06-30 16:22:39 发布
最新推荐文章于 2022-06-30 16:22:39 发布
阅读量667 收藏
点赞数
文章标签: 数据库 python
原文链接:https://my.oschina.net/tianbing/blog/1553892
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1. 概述

    行级安全性策略是PG9.5新加的一个功能,它是一种粒度更细的,针对行级所做的权限控制。

    它可以对每一个用户限制哪些行可以进行查询操作或增删改的操作。

 

2. 特性介绍

    默认情况下,表是没有行级安全性的,要想使表有行级安全性,需要使用命令:

    ALTER TABLE .... ENABLE ROW LEVEL SECURITY;

    是表有行级安全性检查。所有对该表的操作(表的属主除外),都要经过行级安全性策略的允许。 

    但是表级的操作,如truncate不服从行级安全性策略。

 

    下面介绍下怎么创建行级安全性策略。

    语法为:    

CREATE POLICY name ON table_name
[ FOR { ALL | SELECT | INSERT | UPDATE | DELETE } ]
[ TO { role_name | PUBLIC | CURRENT_USER | SESSION_USER } [, ...] ]
[ USING ( using_expression ) ]
[ WITH CHECK ( check_expression ) ]

    //name -- 策略名称
    //table_name -- 适用于该策略的表
    //FOR -- 该策略适用的DML命令,ALL表示所有
    //TO -- 该策略适用的角色
    //USING -- 应用在表上的CHECK表达式,返回true的行可见,false不可见
    //WITH CHECK -- 应用在该表的INSERT或UPDATE的SQL表达式,true的可以操作,false操作失败

 

    针对行级安全策略,有两个系统表记录信息。

    pg_policy  系统表

polname策略名称
polrelid策略适用的表
polcmd策略命令类型:r-select,a-insert,w-update,d-delete,*-所有类型
polroles策略适用角色
polqual策略限制的查询条件
polwithcheck被作为WITH CHECK 条件增加到尝试向表增加行的查询的表达式树

    

    pg_policies系统表

schemaname策略所在表的模式名
tablename策略所在的表名
policyname策略名
roles策略所适用的角色
cmd策略所适用的命令类型
qual策略限制的查询条件
with_check被作为WITH CHECK 条件增加到尝试向表增加行的查询的表达式树

 

3. 示例

    a ) 建表

postgres=# create table test_policy(id int, usr name,  tm timestamp default clock_timestamp());
CREATE TABLE
postgres=# insert into test_policy(id, usr) values(1, 'user1');
INSERT 0 1
postgres=# insert into test_policy(id, usr) values(2, 'user2');
INSERT 0 1
postgres=# insert into test_policy(id, usr) values(3, 'user2'); 
INSERT 0 1
postgres=# insert into test_policy(id, usr) values(4, 'user2');
INSERT 0 1
postgres=# insert into test_policy(id, usr) values(5, 'user1');
INSERT 0 1
postgres=# insert into test_policy(id, usr) values(5, 'user3');
INSERT 0 1

    b) 设置行级安全检查

postgres=# ALTER TABLE test_policy ENABLE ROW LEVEL SECURITY;
ALTER TABLE

    c) 创建测试角色

postgres=# create role user1 with login;
CREATE ROLE
postgres=# create role user2 with login;
CREATE ROLE
postgres=# create role user3 with login;
CREATE ROLE
postgres=# grant select on test_policy to user1,user2,user3;
GRANT

    d) 创建策略

postgres=# CREATE POLICY pol1 ON test_policy
postgres-# FOR SELECT TO PUBLIC
postgres-# USING (usr = current_user);
CREATE POLICY

    e) 以user1登录数据库,测试

postgres=# \c postgres user1
You are now connected to database "postgres" as user "user1".
postgres=> select * from test_policy ;
 id |  usr  |             tm             
----+-------+----------------------------
  1 | user1 | 2017-10-20 14:37:38.065646
  5 | user1 | 2017-10-20 14:37:38.0983
(2 rows)

    可以看出以只有usr字段值为user1才对用户user1可见。

    f) 多个策略共同作用一张表时

postgres=# CREATE POLICY pol2 ON test_policy
postgres-# FOR SELECT TO PUBLIC
postgres-# USING (id = 5);
CREATE POLICY

    再创建一个策略作用同一张表,设置其他的限制查询条件。

    再以user1登录,执行查询,

postgres=# \c postgres user1
You are now connected to database "postgres" as user "user1".
postgres=> select * from test_policy ;
 id |  usr  |             tm             
----+-------+----------------------------
  1 | user1 | 2017-10-20 14:37:38.065646
  5 | user1 | 2017-10-20 14:37:38.0983
  5 | user3 | 2017-10-20 14:37:38.645789
(3 rows)

可以看出其查询结果是pol1和pol2两个策略进行OR的结果。

目前9.6之前的版本还不支持多个策略AND的结果,据说PG10已经新增了该功能。

转载于:https://my.oschina.net/tianbing/blog/1553892

weixin_33924220
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
multi_tenancy:使用PostgreSQL行级安全性(RLS)的示例多租户Rails应用程序
02-05
这是使用PostgreSQL行级安全性(RLS)的多租户Rails应用程序的示例。 在此应用程序中,每个租户有多个用户,每个用户有多个文章。 如果您以某个租户的用户身份登录到此应用程序,则不能引用其他租户的用户和文章。...
技术贴 | 走进 PostgreSQL 行级安全策略
KaiwuDB 数据库
10-19 1291
行级安全(RLS,Row-Level Security)可控制用户访问数据库的查看权限,简化应用程序的设计和编码,帮助实现数据库行级数据的访问控制。每一次尝试访问数据,都会受到 RLS 的限制,RLS 使得数据库安全系统更加稳定、可靠、强大。RLS 主要的应用场景是可以确保不同的用户访问不同的数据内容。例如,针对公司员工信息,某部门组长只能访问与其部门相关的员工信息数据行,而 HR 可以访问整个公司所有员工的信息;
[译] PostgreSQL安全性策略
PostgreSQL China
06-30 479
除可以通过GRANT使用 SQL 标准的 特权系统之外,表还可以具有 行安全性策略,它针对每一个用户限制哪些行可以 被普通的查询返回或者可以被数据修改命令插入、更新或删除。这种 特性也被称为行级安全性。默认情况下,表不具有 任何策略,这样用户根据 SQL 特权系统具有对表的访问特权,对于 查询或更新来说其中所有的行都是平等的。 当在一个表上启用行安全性时(使用 ALTER TABLE … ENABLE ROW LEVEL SECURITY),所有对该表选择行或者修改行的普通访问都必须被一条 行安全性策略
PostgreSQL 行安全策略
08-23 777
行安全策略除可以通过GRANT使用 SQL 标准的 特权系统之外,表还可以具有 行安全性策略,它针对每一个用户限制哪些行可以 被普通的查询返回或者可以被数据修改命令插入、更新或删除。这种 特性也被称为行级安全性。默认情况下,表不...
Postgresql行安全策略(Row Security Policies)
魂醉的一亩二分地
10-29 1084
PG行安全策略其实就是对不同用户,不同行数据的可见性,和可修改性。在我看来其实就是权限的维度不同,PG在9.5之前提供表级别,列级别的权限控制,9.5之后添加行级策略,这样用户就可以更加灵活的控制数据,对不同用户之间的数据隐私起到了保护作用。 先举一个列权限的例子,也可以通过视图的方式进行权限限制: #一张表sex \c postgres postgres postgres=> \d sex Table "public.sex" Column |
postgres policy测试
乡下人
04-27 531
=============创建表t_policy,创建三个用户user1 user2 user3===================== postgres=# create table t_policy(id int,name varchar(10)); CREATE TABLE postgres=# alter table t_policy enable ROW LEVEL SECURITY; #启用行级策略 ALTER TABLE postgres=# insert into t_policy...
PostgreSQL数据库的整体安全性
01-30
数据库安全性是如今基于Web的应用程序面对的最大挑战。如果不加以控制,您将面临公司敏感信息被曝光的风险,更糟糕的是,珍贵的客户信息也将面临被泄露的风险。在本文中,了解可以用来保护您的 PostgreSQL数据库的...
PostgreSQL在阿里的应用
02-02
前言PostgreSQL这几年的发展非常迅猛,在国内掀起了一波PostgreSQL的热潮,但运维人才还是比较紧缺,所以在一些公司没有大面积铺开,不过不用担心,很多云厂商都提供了PostgreSQL数据库服务。阿里云的...
PG中的系统视图
12-21 2822
PG中的系统视图 pg提供了一系列内置的视图,系统视图提供了查询系统表的一些便利的访问方法。其他一些视图提供了访问内部服务器状态的方法。 除了特别注明的,所有这里描述的视图都是只读的。 postgres=# \dv pg* List of relations Schema | Name | Type | Owner ------------+-------------------------
postgres 行安全策略
blue0bird的专栏
11-20 983
postgres 行权限
postgresql9.6中的 Row Security Policies
小屋
11-16 931
1.。中文VS2008下面编译pg9.6 修改VSObjectFactory.pm 中的 DetermineVisualStudioVersion 直接 return '9.00';
表的行级安全策略
qq_35279788的博客
06-28 505
行级安全策略("Row-Level Security (RLS) support")概述        在之前版本的数据安全技术中,是通过GRANT/REVOKE指令实现的,这两个指令提供了对象级的安全限制,针对表,还提供了列级的安全限制,即行级安全的需求,也就是说不同的用户访问同一个表能看到不同的数据,这个特性在9.5中提供了支持。默认的话,表没有任何安全策略限制。        所有对数据的操...
PostgreSQL security usage guide
postgrechina的博客
10-14 699
本文是PostgreSQL使用安全指导性的文章,涉及详细的用法或原理请参考相关链接。 如何安全的使用PostgreSQL,让用户高枕无忧呢? 可以分为如下几个方面来加固你的数据库 一、认证安全 认证前的安全,端口暴露度的把握。 http://blog.163.com/digoal@126/blog/static/163877040201582993130518/ 认
测试PostgreSQL行级
万里归来少年心
10-25 2777
1.打开三个psql窗口,连接到postgreSQL数据库   查看窗口连接到的服务进程的pid。 select pg_backend_pid();           2.在第一个窗口更新一行数据 mydb=# begin; BEGIN mydb=# select * from student where id =1 for update; +----+-------+ | i...
PostgreSQL Version Policy
msdnchina的专栏@JiNan,ShanDong
08-06 192
https://www.postgresql.org/support/versioning/
PostgreSQL安全性:快速查看身份验证最佳实践
weixin_43970764的博客
04-16 930
来源 | 愿码(ChainDesk.CN)内容编辑 愿码Slogan | 连接每个程序员的故事 网站 | http://chaindesk.cn 愿码愿景 | 打造全学科IT系统免费课程,助力小白用户、初级工程师0成本免费系统学习、低成本进阶,帮助BAT一线资深工程师成长并利用自身优势创造睡后收入。 官方公众号 | 愿码 | 愿码服务号 | 区块链部落 免费加入愿码全思维工程师社群 | 任一...
PostgreSQL 表和列权限(ACL)解读
weixin_33979745的博客
02-09 2628
标签 PostgreSQL , pg_class.relacl , pg_attribute.attacl 背景 如何查看数据库中的表的相应权限,已经赋予给哪些用户了。 另外,PostgreSQL还可以针对列进行赋权,还可以适应行安全策略,所以如何查看某张表的某些列的相应权限被赋予给哪些用户了。 还有其他的对象,如视图、函数、语言等,他们的权限被赋予...
PostgreSQL 9.5新特性
奋斗吧,CQS!
12-17 1215
PostgreSQL 9.5新特性   一、RLS行级安全策略详解 "Row-Level Security (RLS) support" 是9.5版本的主要特性之一,提供了基于行的安全策略,限制数据库用户的查看表数据权限。 eg. 1.创建测试表,插入测试数据 fdb=> create table test_row(id serial primary key, username
PostgreSQL9.5新特性之行级安全性及其应用级解决方案
weixin_34380781的博客
01-19 216
为什么80%的码农都做不了架构师?>>> ...
postgresql测试行级访问控制的语句
最新发布
05-10
接着,我们启用了行级安全性,并创建了一个名为 `sales_policy` 的策略,以便 `sales` 角色只能查看 `department` 列为 'Sales' 的行。最后,我们将当前角色设置为 `sales` 并查询 `employees` 表,以验证该策略是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值