7

前提

在文档中,行级安全性似乎很棒。根据我读过的内容,我现在可以停止创建这样的视图:

SELECT data.*
FROM data
JOIN user_data
ON data.id = user_data.data_id
AND user_data.role = CURRENT_ROLE

最重要的是,Postgres 对它进行了很好的分析,view从索引扫描开始,然后对user_data表进行哈希连接,这正是我们想要发生的,因为它非常快。将其与我的 RLS 实现进行比较:

CREATE POLICY data_owner
ON data
FOR ALL
TO user
USING (
  (
    SELECT TRUE AS BOOL FROM (
      SELECT data_id FROM user_data WHERE user_role = CURRENT_USER
    ) AS user_data WHERE user_data.data_id = data.id
  ) = true
)
WITH CHECK (TRUE);

这种糟糕的策略会为表中的每一行执行条件data,而不是像我们的视图那样通过将查询范围限定为我们CURRENT_USER有权访问的行来进行优化。需要明确的是,这意味着select * from data命中表中的每一data

问题

我如何编写一个内部策略,该内部策略未在目标表中的每一行上select测试。换一种说法:在对结果运行实际查询之前,如何让 RLS 在目标表上运行我的策略?select

ps 我已经把这个问题留给了一些人含糊不清,主要是因为sqlfiddle还没有达到 9.5。如果我需要添加更多颜色或一些要点来解决我的问题,请告诉我。

4

1 回答 1

6

如果您将策略表述如下,PostgreSQL 可能能够生成更好的计划:

...
USING (EXISTS
          (SELECT data_id
           FROM user_data
           WHERE user_data.data_id = data.id
             AND role = current_user
          )
      )

您应该有一个 ( PRIMARY KEY?) 索引ON user_data (role, data_id)来加速嵌套循环连接。

但我认为将权限信息包含在data表本身中会是一个更好的设计,可能使用以下name[]类型:

CREATE TABLE data(
   id integer PRIMARY KEY,
   val text,
   acl name[] NOT NULL
);

INSERT INTO data VALUES (1, 'one',   ARRAY[name 'laurenz', name 'advpg']);
INSERT INTO data VALUES (2, 'two',   ARRAY[name 'advpg']);
INSERT INTO data VALUES (3, 'three', ARRAY[name 'laurenz']);

然后你可以使用这样的策略:

CREATE POLICY data_owner ON data FOR ALL TO PUBLIC
   USING (acl @> ARRAY[current_user::name])
   WITH CHECK (TRUE);
ALTER TABLE data ENABLE ROW LEVEL SECURITY;
ALTER TABLE data FORCE ROW LEVEL SECURITY;

当 I 时SELECT,我只获得我有权访问的行:

SELECT id, val FROM data;
 id |  val
----+-------
  1 | one
  3 | three
(2 rows)

您可以定义一个 GIN 索引来支持该条件:

CREATE INDEX ON data USING gin (acl _name_ops);
于 2017-03-03T09:13:52.993 回答