问题描述
对于一个新项目,我们目前正在设计一个数据库和一个用于访问该数据库的API。我们已经确定我们将对数据库使用Postgresql,并希望通过GraphQL API访问它。
为了简化可维护性,我们研究了客户端/ API /数据库之间的几种中介,主要是prisma,PostGraphile和Hasura。 PostGraphile之所以能脱颖而出,是因为其易用性以及将重点放在“数据库”中而不是后端代码中。但是,在弄清楚如何实现这一点时,我们遇到了问题。
允许我进一步扩展到目前为止的设计:
临时数据库设计:
-
users
表 -
groups
表 -
roles
表: -
u_g_r
表:用户可以属于多个组,并且在每个组中可以具有多个角色。该表表示users
,groups
和roles
的外键,因为实际上几乎所有组合都可以存在多对多关系。
数据权限:
我们希望用户通过几个步骤(最好是针对每个组)授予其他人访问其个人数据的权限。例如:
- 级别3:您本人,只有绝对必要的人,例如客户经理
- 级别2:只有X,Y等组中的人
- 第1级:所有人
如果可以为各种类型的数据设置此功能真是太棒了,例如,授予您的电话号码2级,但授予您的物理地址1级。
因此,这些级别(1、2、3)将伴随数据库中的数据,例如phone_number
和phone_number_access_level
。然后,在u_g_r
联结表中,user
/ group
/ role
的每个组合都将附加一个允许的级别,该级别必须高于以下级别的要求:相关数据。因此,如果您的role
允许访问级别2的数据,则可以查看级别1和2的数据,但不能查看级别3的数据。
Postgres允许列级和行级安全性,以允许用户访问某些数据。 PostGraphile Wiki详细介绍了{here和here)如何使用JWT声明而不是PostGres角色来实现此功能。 当我们要实现上述功能时,问题就来了。看来我们想要一种不存在的“领域级安全性”,但我无法想象其他人没有同样的问题。
您愿意让我们做什么?请让我知道我们是否错过了其他选择,或者是否还有其他更适合我们的选择!
在数据库外部实现此功能,可能本身就是最简单的方法,但它对我们的可维护性产生了极大的影响,因为像PostGraphile这样对我们来说主要的奢侈是消除了编写GraphQL模式和自己解决。
解决方法
似乎您希望所有用户看到所有表行,但只能看到某些列。
您可能无法使用列权限,因为这些权限只能允许或拒绝整体访问列,并且不尊重谁“拥有”某个表行。
因此,也许视图可以执行您想要的操作,例如:
CREATE VIEW users_view
WITH (security_barrier = true,check_option = local) AS
SELECT /* accessible to everyone */
username,/* accessible only to certain groups */
CASE WHEN pg_has_role('x','USAGE') OR pg_has_role('y','USAGE')
THEN level2_col
ELSE NULL
END AS level2_col,/* accessible only to admins and owner */
CASE WHEN username = current_user OR pg_has_role('admin','USAGE')
THEN level3_col
ELSE NULL
END AS level3_col
FROM users;
security_barrier
确保没有人可以使用具有副作用的functoin来破坏安全性,并且check_option
确定没有人可以INSERT
自己看不见的行。
如果定义INSTEAD OF
触发器,则可以在视图上允许DML操作。
根据 Laurenz Albe 的回答,我为各种列创建了一个巨大的视图。它当然有效,即使有数千个模拟数据条目,它仍然相对较快。
当我上周回到它时,我想到了一个更清洁的解决方案(可以说)。我现在不再使用像这样的自定义视图,而是使用包含敏感数据的单独表,将它们与外键链接并在这些行上启用行级安全性。
我没有做过任何基准测试,但它应该会更快,因为无论如何并不总是需要这些数据。它至少节省了大量样板文件的复杂视图!