1

我的数据库中有 2 个用户,一个是“强”,一个是“弱”。我只想为其中一个弱用户应用 RLS 策略。这意味着,当强用户查询表时,它应该获取所有行。但是当弱用户查询该表时,将应用该策略并且它将仅返回允许的行。

我创建了一个表,并将 RLS 策略仅应用于弱用户。但即使在使用强用户进行查询时,也会执行该策略并阻止我获取所有行。我正在使用 PostgreSQL 版本 11.4。

这是我创建策略的方式(我已经与另一个第三个用户创建了策略,该用户是管理员和表的所有者)

CREATE TABLE account_test
(
    id bigserial not null,
    description varchar(200),
    tenant_id UUID not null
);
ALTER TABLE account_test ENABLE ROW LEVEL SECURITY;
CREATE POLICY tenant_policy ON account_test TO weak_user
                        USING (tenant_id = current_setting('rls.tenant_id')::uuid);


account=# select * from pg_policies;

 schemaname |  tablename   |  policyname   | permissive |     roles     | cmd |                             qual                             | with_check
------------+--------------+---------------+------------+---------------+-----+--------------------------------------------------------------+------------
 account    | account_test | tenant_policy | PERMISSIVE | **{weak_user}**   | ALL | (tenant_id = (current_setting('rls.tenant_id'::text))::uuid) |

现在,使用管理员用户插入和选择始终有效,因为它是所有者:

insert into account_test (description, tenant_id) VALUES ('desc111', '11111111-c929-462e-ade4-074c81643191');
select * from account_test;

这里没问题,所有行都返回了。

尝试使用weak_user 登录并选择时,我没有按预期得到任何行:

select * from account_test; 
-- returns 0 rows as expected (weak_user).

如果我设置参数,则应用策略并按预期获取数据:

select set_config('rls.tenant_id', '11111111-c929-462e-ade4-074c81643191',true);
select * from account_test; 
-- returns 1 row as expected

现在,当我使用 strong_user 登录并执行select * from account_test查询时,我希望返回所有行,因为策略仅适用于 weak_user。但是,我得到与 for 相同的行为,weak_user并且没有返回任何行。使用 set_config 的查询也不返回任何内容。

我错过了什么?

这是预期的行为吗?

有人可以解释吗?

4

1 回答 1

3

在使用 对表启用 RLS 时,将对ALTER TABLE account_test ENABLE ROW LEVEL SECURITY所有用户使用 default-deny all 策略。

在表上启用 [RLS] 时,行安全策略必须允许对表的所有正常访问以选择行或修改行。(但是,表的所有者通常不受行安全策略的约束。)如果表不存在策略,则使用默认拒绝策略,这意味着没有行可见或可以修改。

– https://www.postgresql.org/docs/current/ddl-rowsecurity.html

每个策略都有一个名称,并且可以为一个表定义多个策略。由于策略是特定于表的,因此表的每个策略都必须具有唯一的名称。不同的表可能有同名的策略。

为了strong_user获得访问权限,您需要添加另一个规则,例如

CREATE POLICY tenant_policy ON account_test TO strong_user USING (true);

当多个策略应用于给定查询时,它们使用 OR(对于默认的许可策略)或 AND(对于限制性策略)进行组合。这类似于给定角色拥有其所属的所有角色的权限的规则。下文将进一步讨论许可政策与限制政策。

于 2020-09-08T17:17:55.730 回答