postgrest和postgreSQL权限认证

最新推荐文章于 2024-03-19 09:41:14 发布
最新推荐文章于 2024-03-19 09:41:14 发布
阅读量1.2k 收藏 1
点赞数 1
文章标签: postgresql centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43667400/article/details/124197047
版权

前面我们说了如何从0搭建postgrest和postgresql服务,当服务搭起来后没有权限认证肯定是用不的,这节将讲解如何搭建权限认证。pg是通过jwt进行权限认证。

  1. 首先要将pg所要用的jwt上传到pg服务器当中。
    此处获取插件。postgrest和postgresql权限认证,jwt插件-CentOS文档类资源-CSDN下载这是postgresql使用权限控制的插件,若是没有这个插件就无法正常工作。更多下载资源、学习资料请访问CSDN下载频道.https://download.csdn.net/download/weixin_43667400/85143226由于是用docker搭建的,首先将插件上传到docker容器里: 
    docker cp /home/PostgREST/testau/pgjwt.control 
 postgrest_db_1:/usr/share/postgresql/14/extension/

    进入docker容器,使用命令docker exec -it  容器名 /bin/bash
    进入容器后执行命令psql -p 端口 -U 数据库用户名 -W 数据库名,进入数据库后执行 
    create extension if not exists pgcrypto;
CREATE EXTENSION if not exists pgjwt;

    至此准备工作已经完成,接下来进行数据库函数配置。
  2. 用Nacicat连接数据库后,新建查询。
    首先,我们需要一个表格来跟踪我们的用户: 
    create schema if not exists basic_auth;
create table if not exists
basic_auth.users (
  email    text primary key check ( email ~* '^.+@.+\..+$' ),
  pass     text not null check (length(pass) < 512),
  role     name not null check (length(role) < 512)
);


    我们希望角色成为实际数据库角色的外键,但是 PostgreSQL 不支持针对pg_roles表的这些约束。我们将使用触发器来手动执行它。 
    create or replace function
basic_auth.check_role_exists() returns trigger as $$
begin
  if not exists (select 1 from pg_roles as r where r.rolname = new.role) then
    raise foreign_key_violation using message =
      'unknown database role: ' || new.role;
    return null;
  end if;
  return new;
end
$$ language plpgsql;

drop trigger if exists ensure_user_role_exists on basic_auth.users;
create constraint trigger ensure_user_role_exists
  after insert or update on basic_auth.users
  for each row
  execute procedure basic_auth.check_role_exists();
    接下来,我们将使用 pgcrypto 扩展和触发器来保证密码在users表中的安全 
    create extension if not exists pgcrypto;

create or replace function
basic_auth.encrypt_pass() returns trigger as $$
begin
  if tg_op = 'INSERT' or new.pass <> old.pass then
    new.pass = crypt(new.pass, gen_salt('bf'));
  end if;
  return new;
end
$$ language plpgsql;

drop trigger if exists encrypt_pass on basic_auth.users;
create trigger encrypt_pass
  before insert or update on basic_auth.users
  for each row
  execute procedure basic_auth.encrypt_pass();
    有了表,我们可以创建一个助手来检查加密列的密码。如果电子邮件和密码正确,它将返回用户的数据库角色。 
    create or replace function
basic_auth.user_role(email text, pass text) returns name
  language plpgsql
  as $$
begin
  return (
  select role from basic_auth.users
   where users.email = user_role.email
     and users.pass = crypt(user_role.pass, users.pass)
  );
end;
$$;

    至此我们创建了一个内部表来存储用户信息,然后我们将在公共模式下创建登录函数

    我们将在登录函数中创建 JWT。请注意,您需要将本示例中硬编码的密钥调整为您选择的安全(至少 32 个字符)密钥。 
    CREATE TYPE basic_auth.jwt_token AS (
  token text
);

create or replace function
login(email text, pass text) returns basic_auth.jwt_token as $$
declare
  _role name;
  result basic_auth.jwt_token;
begin
  select basic_auth.user_role(email, pass) into _role;
  if _role is null then
    raise invalid_password using message = 'invalid user or password';
  end if
  select sign(
      row_to_json(r), 'reallyreallyreallyreallyverysafe'
    ) as token
    from (
      select _role as role, login.email as email,
         extract(epoch from now())::integer + 60*60 as exp
    ) r
    into result;
  return result;
end;
$$ language plpgsql security definer;
    row_to_json(r), 'reallyreallyreallyreallyverysafe'这句话就是你所要配置的密钥,可以自行用工具生成32位密钥来替换。

     

  3. 这里只是在pg数据库中配置了,没有在postgrest服务中配置。
    修改上节的docker-compose.yml文件

    注意此处,如果使用了单独创建的匿名用户,那么就添加PGRST_JWT_SECRET: "reallyreallyreallyreallyverysafe"即可,如果匿名用户就是数据库超级用户的话就添加role-claim-key: "reallyreallyreallyreallyverysafe"即可。
    然后重启服务,docker-compose restart 
  4. 测试
    使用postman进行测试,在测试之前首先创建几个角色。
    需要保证这里的连接角色可以跳转到其他角色,数据库中执行 
    GRANT 连接角色 TO 其他角色 ;




 如果可以登录为用户,不能登录为角色

 新建测试表,给表中不同角色赋予不同权限

 在user表中添加几个登录用户

 用postman测试

这样就可以成功获取到token了,接着用token获取数据。 

 

 这是不允许改token用户查询此表。提示没有权限。

 这里允许改token用户查询此表,显示正常。
至此postgresql权限认证这部分就完成了,后续会讲解,多个模式之间如何切换,及权限赋予。
参考官方网址:Overview of Role System — PostgREST 9.0.0 documentation

枝里酒
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PostgREST 基本教程(一)】 PostgREST快速搭建
Contributor -> Committer
05-22 4309
PostgREST 基本教程PostgREST是一个可以直接将你的PostgreSQL数据库直接提供RESTful API 的稳定WEB服务。数据库结构和约束决定API的端点和操作。使用PostgREST可以替代手动的CRUD开发。自定义的API服务经常遇到很多问题。人工编写业务逻辑经常会导致重复,忽略或者绕过数据库数据结构。对象关系映射这种抽象会导致代码慢。PostgREST的思想是:数据为本。P
postgrestpostgresql权限认证,jwt插件
04-15
这是postgresql使用权限控制的插件,若是没有这个插件就无法正常工作。
PostgreSQL DBA认证 PGCE-E-092-中级SQL题目
08-26
PostgreSQL DBA认证 PGCE-E-092-中级SQL题目,可以测试你对SQL的掌握程序,特别好的文档,分享给大家学习了
PostgREST 完整示例教程
henjuewang的博客
03-22 5281
文章目录前言准备环境初始化数据库配置 PostgREST前端交互演示结束jwt 认证系统原理 前言 两年前写过一篇介绍 PostgREST 的文章,还建了个 QQ 交流群。不过一直还在学前端的东西,一直没用根据这套技术做什么东西。 这些天找出空来又研究了一下,还是觉得非常好玩非常便捷。所以写了一个完整的包括注册、登录鉴权,查询表和修改表的小示例,希望能给愿意尝试的同学一点帮助。 主要参考了官方文档...
探索PostgREST:构建现代化API的利器
最新发布
gitblog_00057的博客
03-19 378
探索PostgREST:构建现代化API的利器 项目地址:https://gitcode.com/PostgREST/postgrest PostgREST 是一个开源项目,它将你的 PostgreSQL 数据库直接转化为 RESTful API,无需编写任何服务器代码。这篇文章将深入探讨这个项目的原理、应用场景和独特之处,让你更全面地理解其价值,并鼓励你尝试在自己的项目中运用。 项目简介 Pos...
使用PostgRESTRestAPI操作之管理与优化
YunWisdom
12-14 773
使用PostgRESTRestAPI操作之管理与优化 硬化PostgREST PostgREST是构建RESTful API的快速方法。它的默认行为非常适合开发中的脚手架。只要您采取预防措施,当需要投入生产时,它也会发挥很大的作用。PostgREST是一个小巧的工具,专注于执行API到数据库的映射。我们依靠像Nginx这样的反向代理来提供其他保护措施。 第一步是创建一个Nginx...
postgREST 角色授权文档整理
henjuewang的博客
07-12 1691
说明 使用postgrest进行角色的jwt token加密,验证和授权。 过程 一.准备工作 以下都在pg shell中执行 1. 开启pgcrypto扩展 create extension if not exists pgcrypto; 2. 使用pgjwt函数定义 CREATE OR REPLACE FUNCTION url_encode(data bytea) RE...
[原创]PostgreSQL本地登录trust、ident认证权限控制
weixin_30426879的博客
05-07 252
前几天偶然发现任意OS用户无需密码就可以获取PG数据库管理员权限。感觉这个也太BUG了,如果DBA配置不当,岂不是很容易就数据泄露了。。。 通过合理配置pg_hba.conf,pg_ident.conf禁止非数据库OS用户登录以trust方式登录,对于某些需要支持本地认证的同学可能有用。 前置条件: 1.我的PG数据库是由Linux用户 ithomer创建的私有...
VUE+PostgreSQL+PostgREST实现用户权限安全分级-附件资源
03-02
VUE+PostgreSQL+PostgREST实现用户权限安全分级-附件资源
postgresqlpostgrest安装及使用
weixin_43667400的博客
04-13 1313
1,首先简单介绍一下postgrest是什么,能做什么,怎么做。 官网解释: PostgREST 是一个独立的 Web 服务器,它将 PostgreSQL 数据库转换为 RESTful API。它提供基于底层数据库结构定制的 API。 要制作 API,我们将简单地构建一个数据库。所有端点和权限都来自数据库对象,如表、视图、角色和存储过程。这些教程将涵盖许多常见场景以及如何在数据库中对它们进行建模。 在本教程结束时,您将拥有一个工作数据库、PostgREST 服务器和一个简单的单用户待办事项列表
PostgREST安装
db_guy的博客
09-21 1542
背景说明 PostgREST用于直接产生restapi接口来进行CRUD操作,降低了后端开发工作量,提供高度一致规范的数据的接口,在某些场景下具有很重要的应用价值。 环境说明 OS版本:CentOS Linux release 7.7.1908 PostgreSQL版本:PostgreSQL 10,安装过程可以参考另一篇Blog。 注意PostgREST依赖PostgreSQL 9.5以上 1....
postgrest:适用于任何Postgres数据库的REST API
02-04
PostgREST提供任何现有PostgreSQL数据库中的完全RESTful API。 它提供了比您可能从头开始编写的更干净,更符合标准的API,更快的API。 赞助商 非常感谢我们的赞助商! 你可以通过支持PostgREST加入他们的行列 。 用法 下载适合您平台的二进制文件()。 寻求帮助: postgrest --help 最新文档位于 。 您可以为的文档做出贡献。 性能 TLDR; 亚秒级响应时间,在Heroku免费层上最多可实现2000个请求/秒。 如果您习惯用解释性语言编写的服务器,请准备好对PostgREST的性能感到惊喜。 三个因素促成了速度。 首先,使用 HTTP服
postgrest-starter-kit:用于使用PostgREST编写REST API后端的入门工具包和工具
02-01
PostgREST入门套件 使用编写REST API后端的基础项目和工具。 目的 PostgREST提供了一种不同的方式来构建数据驱动的API后端。 它做得“不错”,即为您提供数据库上的REST api,但是构建一个复杂的生产系统,该系统可以执行与第三方系统的对话,发送电子邮件,为浏览器实现实时更新,编写集成等功能测试,实施身份验证,则需要其他组件。 因此,一些开发人员要么提交功能请求,要么不属于PostgREST的范围,要么将其视为原型实用程序,而不是功能强大/性能卓越的灵活生产组件。 该存储库旨在作为所有基于PostgREST的项目的起点,并将所有组件整合到一个定义良好的结构中。 我们还提供了可帮助您迭代项目和工具/脚本的工具,以使构建管道能够将所有内容推向生产。 堆栈中有很多组件,但是如果您不需要pg_amqp_bridge / rabbitmq(甚至是openresty)实例,可以在docker-compose.yml中安全地注释掉它们。 PostgREST +即服务 在运行您的PostgREST实例,并获得OS版本的其他功能()。 或者,使用二进制和docker在基础架构上部
Spring-Boot-Java:使用PostgreSQL和JWT的REST API
03-26
Spring启动Java 使用PostgreSQL和JWT的REST API
PostgreSQL教程(十二):角色和权限管理介绍
09-10
主要介绍了PostgreSQL教程(十二):角色和权限管理介绍,本文讲解了数据库角色、角色属性、权限、角色成员,需要的朋友可以参考下
PostgreSQL权限限制插件
09-13
PostgreSQL hook机制编写插件限制超级用户权限。安装方法:在contrib下建立目录:limitsuperuserdrop,将C代码文件和Makefile放入其中,使用make ; make install编译安装。将data目录下的postgresql.conf中的shared_...
VUE+PostgreSQL+PostgREST实现用户权限安全分级
DJun的博客
12-10 2961
最近在做一个工厂的项目,在这个项目里面需要给用户设置一些权限,比如说普通员工只能录入数据不能修改、普通管理员可以查看和修改、超级管理员可以给其他用户设置有哪些权限。以下内容是我们团队完成权限验证之后的浓缩总结。PostgREST不知道是啥的话,还是点击这里补脑吧!(官方文档实在看不懂的话.......关于PostgREST的中文文档,我们团队已翻译处理,后续也会放在文末分享给大家。)
使用PostgRESTRestAPI操作之角色系统教程
YunWisdom
12-14 1145
角色系统概述 PostgREST旨在使数据库始终处于API安全性的中心。所有授权都是通过数据库角色和权限进行的。PostgREST的工作是对请求进行身份验证(即验证客户端是否是他们所说的身份),然后让数据库对客户端操作进行授权。 验证顺序 PostgREST使用三种角色,身份验证者,匿名角色和用户角色。数据库管理员创建这些角色,并将PostgREST配置为使用它们。 应该NOIN...
postgresql权限
04-01
PostgreSQL中的权限控制是一种安全机制,允许管理员控制用户对数据库和表的访问权限。以下是一些PostgreSQL权限的列表: 1. CONNECT权限:允许用户连接到数据库服务器,但不允许对任何对象进行操作。 2. CREATE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值