【Postgresql数据库行级锁】

已于 2023-12-14 16:31:57 修改
阅读量130 收藏
点赞数
文章标签: 数据库
于 2023-12-14 16:06:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38759836/article/details/134997866
版权

租户ID无感化使用手册

使用背景
业务系统从单租架构向多租架构改造演进中,作为持久化存储层的数据库,需要存储多个租户的业务数据,各租户之间数据隔离,一般采用逻辑隔离和物理隔离两种策略:

  1. 逻辑隔离是各租户的数据仍然存储在同一个数据库,增删查改操作通过数据表的 tenant_id 字段进行筛选隔离;
  2. 物理隔离是各租户使用独立的数据库,增删查改的数据完全物理隔离,运行时可按租户ID路由到预期的数据源

这里,我们采用逻辑隔离策略,探讨对数据表的 tenant_id 字段的相关使用,一般有两种策略:
客户端重写SQL语句,增删查改(select, insert, update, delete 语句)需要拿当前 tenant_id 作为筛选条件或属性数据来使用,添加到重写的SQL语句中;
数据库服务侧行级安全策略 RLS,在数据库侧通过 RLS 对数据进行筛选过滤,客户端的SQL语句保持不变,执行SQL时租户无感;
前提条件
数据库须支持 RLS 行级安全策略
备注: Msql 不支持, postgres 支持
Postgresql 行级安全策略 RLS
RLS 即 Row-Level Security,数据侧 Security Policy 在数据行级别上控制用户的访问,粒度是数据行,控制用户只能访问数据表的特定数据行。

开启 RLS 行级安全策略:
ALTER TABLE <table_name> ENABLE ROW LEVEL SECURITY;
备注:RLS是针对数据库表级的,其中 <table_name> 代表需要按租户ID筛选数据库表

强制开启 RLS 策略(针对开启RLS策略失效时)
ALTER TABLE <table_name> force row level security;

创建 RLS 具体策略:
create policy tenant_isolation_policy on <table_name>
USING (tenant_id = current_setting(‘app.current_tenant’));
备注:配置访问 PG 数据库的用户,不能是 super user 类型,否则 RLS 行级策略会失效。

组件依赖
备注:0.0.1版本使用

<dependency>
  <groupId>XXX.XXX.XXX</groupId>
  <artifactId>XXX-orm-tenancy</artifactId>
  <version>0.0.1.SNAPSHOT</version>
</dependency>

配置说明
application.properties 配置文件
#租户无感化开启配置,默认值为 true
xxx.dao.tenant-unaware.enabled=true
#配置需要多租化的数据库表名,支持正则表达式
xxx.dao.tenant-unaware.tables=t_class,tfd_*
#配置需要多租化的数据库表的字段名,默认值为 “tenant_id”
xxx.dao.tenant-unaware.tenantid.column=tenant_id

datasource.configs.xml 数据源配置文件

数据源类把 dpcb2 的 BasicDataSource 替换为 租户ID无感数据源: JalorTenancyDataSource
该数据源类也继承了dpcb2 数据源类,扩展的主要功能是:在执行SQL语句之前,获取数据源 connection 连接对象之后,通过执行 SET 语句,把当前请求上下文中的 tenanId 作为参数传给到PG数据库,例如: SET app.current_tenant = ‘888’

<bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean">
 ... ...
  <property name="plugins">
    <list>
        <bean id="pagePlugin" class="com.xxx.core.orm.PageInterceptor"/>
        <bean id="jalorResultSetPlugin" class="com.xxx.core.orm.ResultSetInterceptor"/>
        <bean id="programPlugin" class="com.xxx.core.orm.ProgramInterceptor"/>
        <bean id="multiTenantInterceptor"                  
                class="com.xxx.multitenant.interceptor.TenantUnawareInterceptor"/>
    </list>
  </property>

在 “sqlSessionFactory” Bean XML 声明中, 往 plugins 属性添加租户无感的拦截器:TenantUnawareInterceptor
该拦截器主要针对 insert into 的SQL语句进行重写, 例如
重写之前的SQL语句为:
INSERT INTO orders (orderNumber, orderDate, requiredDate, shippedDate, status , comments, customerNumber)
VALUES (?, ?, ?, ?, ? , ?, ?)
重写之后的SQL语句为:
INSERT INTO orders (orderNumber, orderDate, requiredDate, shippedDate, status , comments, customerNumber, tenant_id)
VALUES (?, ?, ?, ?, ? , ?, ?, ‘888’)

扩展篇
场景一:
上下文中无法获取 tenantId 时,可以通过 IDefaultTenantIdProvider.getTenantId() 接口的自定义spring bean 扩展实现兜底获取。
例如定时任务触发执行SQL语句时,当前上下文租户ID获取不到时(即 requestContext.getTenantId() == null 时)
使用 IDefaultTenantIdProvider.getTenantId() 扩展方法作为获取租户ID的兜底实现逻辑。

场景二:
针对一些特殊场景,不同的数据库表所使用的租户ID字段名称不一样,例如数据库表 table_A 使用的租户ID是 tenantId_a, 数据库表 table_B 使用的租户ID是 tenantId_b
可以通过 IDefaultTenantIdProvider.resolveTenantIdColumnName(String tableName) 接口的自定义spring bean 来扩展实现, 方法示例如下:
@Override
public String resolveTenantIdColumnName(String tableName) {
if(“table_A”.equals(tableName)){
return “tenantId_a”;
}
if(“table_B”.equals(tableName)){
return “tenantId_b”;
}
return null;
}
1
2
3
4
5
6
7
8
9
10
注意: 此方法 return null 时,会兜底使用配置 xxx.dao.tenant-unaware.tenantid.column的值; 如果没有配置,默认值为 tenant_id;
此扩展特性,限于 7.0.2.0-SP1.RELEASE 以上版本使用。

FAQ

  1. 数据库 RLS 策略不生效,检查步骤:
    检查当前用户的类型,usersuper 应为 ‘f’
    select * from pg_user where usename = current_user ; (备注:示例SQL适用于postgres数据库)

检查开启 RLS 策略的表名是否包含在内
select relname,relrowsecurity from pg_class where relrowsecurity=‘t’; (备注:示例SQL适用于postgres数据库)

检查已经创建的 RLS 策略详情
select * from pg_policies
(备注:示例SQL适用于postgres数据库)

强制开启 RLS 策略
alter table [表名t_table_xxx] force row level security;

  1. 设置PG数据库,用户级不启用 RLS 策略
    alter user <user_name> BYPASSRLS; (针对用户级 RLS 策略失效)
    alter user <user_name> NOBYPASSRLS; (针对用户级 RLS 策略生效)
    备注:其中 <user_name> 为用户名, RLS失效策略的用户一般用SQL客户端工具,不可用于部署应用中。

常见异常

  1. SQL异常信息:
    Cause: org.postgresql.util.PSQLException: ERROR: unrecognized configuration parameter “app.current_tenant”;

问题分析:当前执行SQL语句中数据库表开启了RLS策略,但当前数据库连接 connection 没有设置 app.current_tenant 值, 根因是当前请求上下文 requestContext 中没有获取到 tenantId 所导致。
通常用户使用异步多线程场景,没有透传当前请求上下文,异步子线程执行DAO层操作时,因请求上下文 requestContext 为 null 导致出现该异常。

解决方案:
把主线程的请求上下文对象requestContext,透传到异步子线程中,在子线程执行SQL语句时,能从 requestContext 获取到 tenantId 信息。
例如: RequestContextManager.setCurrent(requestContext);

2.SQL异常信息:
ERROR: new row violates row-level security policy for table “tpl_personalized_setting_t22”
问题分析:当前执行 insert 语句中数据库表开启了RLS策略,RLS策略的cmd未包含 insert, 通过 select * from pg_policies; 语句查看RLS策略详情:

解决方案:
重新创建RLS策略,确保策略信息中的 cmd 值为 all
备注:执行的 insert 语句中也需要有字段 tenant_id ,否则也会报此异常。如果上述都检查了,再检查一下 租户无感的拦截器 TenantUnawareInterceptor 是否生效了

  1. Insert into 场景的SQL异常:
    Error updating database. Cause: com.alibaba.druid.sql.parser.ParserException: syntax error. pos 989, line 1, column 989, token ERROR
    问题分析:对 insert 语句的租户无感处理逻辑,是通过mybatis拦截器会对insert 语句补充 tenantId 字段以及数值,其中把SQL语句解析成语法树的处理过程,使用的是 druid 开源组件。此问题发生在 insert into 语句的value数值中含有连续的单引号"'"时,druid解析SQL语句时会报以上的异常。

解决方案:
目前 druid 对数值中含有特色字符的处理不是特别好,不支持连续的单引号"\‘\’“,仅支持单引号”\'", 或者不连续的单引号。
由于使用单引号容易引发SQL注入安全问题,需要用户对连续的单引号的SQL进行限制或转换(例如单引号字符半角转全角)

明神~Java
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nacos适配postgresql数据库
03-11
1.nacos服务,适配postgresql数据库。 2.提供nacos,postgresql的创建nacos数据库脚本。 3.nacos/conf/nacos-pg.sql数据库脚本文件。 4.nacos版本1.4.2。
postgresql数据库定时备份脚本(linux)
07-14
postgresql数据库定时备份脚本(linux),亲测可用总结
postgresql行级for update测试
热门推荐
朔语的博客
04-25 2万+
创建表:CREATE TABLE db_user(  id character varying(50) NOT NULL,  age integer,  name character varying(100),  roleid character varying,  CONSTRAINT db_user_pkey PRIMARY KEY (id))随便插入几条数据即可。一、不加演示1、打开一个p...
【项目实战】Postgresql数据库中出现表如何解决
Java 技术专栏,从入门到精通,熟悉企业级开发
01-17 4932
本章介绍生产环境中Postgresql数据库出现表情况,应该如何解决?
解决postgresql数据库表问题
bushiayang的博客
11-02 2396
解决postgresql数据库表问题 –pgsql表查询 select a.pid,b.oid,b.relname,c.state_change,query from pg_locks a join pg_class b on a.relation = b.oid join pg_stat_activity c on a.pid = c.pid where a.mode like ‘%ExclusiveLock%’ ORDER BY c.state_change; – pgsql释放 select p
mysql数据库行级有几种_数据库行级和表区别
weixin_39847722的博客
12-20 615
MyISAM和InnoDBMyISAMMyISAM使用B+tree作为索引结构,叶节点存放的是数据地址。MyISAM不支持事务和外键。MyISAM是表,对数据库写操作时会住整个表,效率低。MyISAM支持全文索引。MyISAM设计结构简单,适合read密集的表。MyISAM支持索引压缩,可以加载更多索引。...文章文艺小青年2017-11-21658浏览量深入理解 SQL Server 200...
PostgreSQL机制——行级
Focus on PostgreSQL
09-06 4206
PostgreSQL除了表级之外,还有行级。需要注意的是一个事务可能会在相同的行上保持冲突的 ,甚至是在不同的子事务中。但是除此之外,两个事务永远不可能在相同的行上持有冲突的行级不影响数据查询,它们只阻塞对同一行的写入者和加者。 FOR UPDATE FOR UPDATE会导致由SELECT语句检索到的行被定,就好像它们要被更新。这可以 阻止它们被其他事务定、修改或者删除,一直...
mysql数据库postgreSql数据库行级触发器常用操作
tiger_Angle
04-08 312
在各个数据库中我们经常会对数据进行备份操作,可以借助触发器来实现 emp为数据操作表 emp_audit理解为数据备份表 mysql行级别触发器(mysql非常简单): 创建表emp: CREATE TABLE emp ( empname text NOT NULL, salary integer ); 创建表emp_audit: CREATE TABLE emp_audit( operation char(1)
PostgreSQL-机制详解
贾欣晓的博客
06-04 2909
PostgreSQL表级模式与行级模式
技术贴 | 走进 PostgreSQL 行级安全策略
KaiwuDB 数据库
10-19 1325
行级安全(RLS,Row-Level Security)可控制用户访问数据库的查看权限,简化应用程序的设计和编码,帮助实现数据库行级数据的访问控制。每一次尝试访问数据,都会受到 RLS 的限制,RLS 使得数据库安全系统更加稳定、可靠、强大。RLS 主要的应用场景是可以确保不同的用户访问不同的数据内容。例如,针对公司员工信息,某部门组长只能访问与其部门相关的员工信息数据行,而 HR 可以访问整个公司所有员工的信息;
PostgreSql
脑子进水养啥鱼?的博客
07-31 1858
在中提到,多个用户访问相同数据时可能出现脏读,不可重复度,幻读,更新丢失的问题,为解决这些问题,定义了不同的隔离级别,而隔离级别的具体实现,依靠的就是数据库冲突的机制,在数据库中,不同事务在同一时刻不能对同一对象持有相互冲突的PostgreSQL 提供了多种模式用于控制对表中数据的并发访问,大多数情况下数据库会在事务运行的过程中自动的给相关对象加,以保证事物的正常运行及数据的一致性。
postgresql数据库批量建表
10-12
一个针对postgresql数据库的批量建表工具,只需要将表结构按照示例排版好,运行工具 填写相关数据库配置,即可实现一键建表,免去了疲劳的重复性工作, 对工业数据库工程师来说大大省去了建表操作,无毒无害。健康...
PostgreSQL数据库
11-20
PostgreSQL数据库
postgresql数据库源码包
01-25
数据库安装包,源码编译后可以正常使用
如何mysql数据导入到mongdb
codemami的博客
05-30 1225
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
书籍学习|基于SprinBoot+vue的书籍学习平台(源码+数据库+文档)
JIngJaneIL的博客
05-28 1203
首先,论文一开始便是清楚的论述了平台的研究内容。其次,剖析平台需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确平台的需求。然后在明白了平台的需求基础上需要进一步地设计平台,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式和java技术,总体功能模块运用自顶向下的分层思想。再然后就是实现平台并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过书籍学习平台将会使书籍学习各个方面的工作效率带来实质性的提升。
行列视(RCV)能否在指定时间生成报表数据?
最新发布
2401_83701843的博客
05-30 165
需要注意的是,要实现指定时间生成报表数据的功能,用户需要确保行列视(RCV)系统已经正确配置并连接了相应的数据源,同时还需要根据实际需求进行报表格式和计算逻辑的设置。此外,系统的稳定性和性能也是影响报表生成的重要因素,用户需要确保系统能够正常运行并处理大量的数据。其次,关于指定时间生成报表数据的需求,用户可以通过行列视(RCV)的定时任务功能来实现。综上所述,行列视(RCV)具备在指定时间生成报表数据的能力,但具体实现方式需要根据系统的配置和使用需求来确定。
oracle中的INTERVAL函数学习总结
weixin_42821740的博客
05-30 461
简单学懂interval函数
阿里ADB postgresql 机制
06-13
阿里ADB是一款基于PostgreSQL开发的分布式关系型数据库,它的机制与传统的PostgreSQL数据库相似,但也有一些特殊的地方。 阿里ADB支持多种类型,包括共享(Shared Lock)、排他(Exclusive Lock)、行级共享(Row-Level Shared Lock)和行级排他(Row-Level Exclusive Lock)等。这些的作用和传统的PostgreSQL数据库类似,用于控制对数据对象的访问并保证数据的正确性和一致性。 其中,阿里ADB的行级共享行级排他是其特有的类型,可以用于控制对表中某一行的访问权限,实现更细粒度的数据控制。 阿里ADB还支持MVCC(Multi-Version Concurrency Control)机制,它采用基于版本的数据管理模式,从而避免了传统机制中的大量竞争问题,减少了冲突的可能性,提高了并发性能和可扩展性。 总之,阿里ADB的机制和传统的PostgreSQL数据库类似,但也有其特殊的地方。通过多种类型的支持和MVCC机制的应用,它能够实现高效、可靠的数据访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值