13

我想掌握在支持 Web 应用程序的多租户数据库中使用新行级安全功能的最佳方法。

目前,该应用程序有几个不同的可用角色,具体取决于它尝试采取的操作。

一旦应用程序使用自己的 ROLE 建立连接,应用程序就会将身份验证参数(由用户提供)传递到不同的函数中,这些函数会根据用户提供的身份验证参数过滤掉行。该系统旨在与成千上万的用户一起使用,并且似乎可以正常工作;然而,它显然很笨重(而且很慢)。

似乎如果我想使用新的行级安全功能,我需要为每个真实世界的用户(不仅仅是 Web 应用程序)创建一个新的角色来访问数据库。

这个对吗?如果是这样,在数据库中创建数千个角色是个好主意吗?

从评论中的a_horse_with_no_name链接更新(感谢,该线程是正确的):

CREATE USER application;

CREATE TABLE t1 (id int primary key, f1 text, app_user text);
INSERT INTO t1 VALUES(1,'a','bob');
INSERT INTO t1 VALUES(2,'b','alice');
ALTER TABLE t1 ENABLE ROW LEVEL SECURITY;
CREATE POLICY P ON t1 USING (app_user = current_setting('app_name.app_user'));
GRANT SELECT ON t1 TO application;

SET SESSION AUTHORIZATION application;

SET app_name.app_user = 'bob';

SELECT * FROM t1;

 id | f1 | app_user
----+----+----------
  1 | a  | bob
(1 row)

SET app_name.app_user = 'alice';
SELECT * FROM t1;

 id | f1 | app_user
----+----+----------
  2 | b  | alice
(1 row)

SET app_name.app_user = 'none';
SELECT * FROM t1;

 id | f1 | app_user
----+----+----------
(0 rows)

现在,我很困惑,current_setting('app_name.app_user')因为我的印象是这只适用于配置参数......在哪里app_name定义?

4

1 回答 1

9

基于会话设置设置安全策略是一个糟糕的糟糕的想法(我讨厌 CAPS 和粗体,所以相信我,我是认真的)。任何用户都可以SET SESSION 'app_name.app_user' = 'bob',所以一旦有人发现“app_name.app_user”是大门(相信我,他们会的),那么您的整个安全性就在外面。

我看到的唯一方法是使用您webadmin唯一可以访问的存储会话令牌的表(uuid类型浮现在脑海中,text为了便于使用而转换为)。该login()功能是SECURITY DEFINER(假设所有者webadmin),设置令牌以及会话SET,然后由(或具有适当权限)拥有的表webadmin引用该表及其策略中的会话设置。

不幸的是,您不能在此处使用临时(会话)表,因为您无法在临时表上构建策略,因此您必须使用“真实”表。这是一种性能损失,但要权衡一下黑客的破坏......

在实践中:

CREATE FUNCTION login (uname text, pwd text) RETURNS boolean AS $$
DECLARE 
  t uuid;
BEGIN
  PERFORM * FROM users WHERE user = uname AND password = pwd;
  IF FOUND THEN
    INSERT INTO sessions SET token = uuid_generate_v4()::text, user ....
       RETURNING token INTO t;
    SET SESSION "app_name.token" = t;
    RETURN true;
  ELSE
    SET SESSION "app_name.token" = '';
    RETURN false;
  END IF;
END; $$ LANGUAGE plpgsql STRICT;

现在您的政策将链接到sessions

CREATE POLICY p ON t1 FOR SELECT
  USING (SELECT true FROM sessions WHERE token = current_setting('app_name.token'));

(因为uuids 可能被认为是唯一的,所以不需要LIMIT 1. 排序或其他魔法,如果suuid在表中,则策略将通过,否则失败。)uuid无法猜测(无论如何在您的一生中)并且无法检索任何人,但webadmin

于 2016-01-29T18:15:05.497 回答