PostgreSQL-এ রো লেভেল সিকিউরিটি ব্যবহার করে একটি ভূমিকা-ভিত্তিক অ্যাক্সেস মডেল বাস্তবায়ন করা

থিম উন্নয়ন PostgreSQL এ সারি স্তরের নিরাপত্তা বাস্তবায়নের উপর একটি গবেষণা и একটি বিস্তারিত উত্তরের জন্য উপর মন্তব্য

ব্যবহৃত কৌশলটি "ডাটাবেসে ব্যবসায়িক যুক্তি" ধারণার ব্যবহার জড়িত, যা এখানে আরও বিশদে বর্ণনা করা হয়েছে - PostgreSQL সঞ্চিত ফাংশন স্তরে ব্যবসায়িক যুক্তি বাস্তবায়নের উপর একটি অধ্যয়ন

তাত্ত্বিক অংশটি ডকুমেন্টেশনে ভালভাবে বর্ণনা করা হয়েছে পোস্টগ্রেএসকিউএল - সারি সুরক্ষা নীতি. নীচে একটি বাস্তব বাস্তবায়ন আছে একটি নির্দিষ্ট ব্যবসায়িক কাজ - ডেটা অ্যাক্সেসের জন্য একটি রোল মডেল।

নিবন্ধে নতুন কিছু নেই, কোন গোপন অর্থ বা গোপন জ্ঞান নেই। একটি তাত্ত্বিক ধারণার ব্যবহারিক বাস্তবায়ন সম্পর্কে শুধু একটি স্কেচ। কেউ আগ্রহী হলে পড়ুন। আপনি যদি আগ্রহী না হন তবে আপনার সময় নষ্ট করবেন না।

সমস্যা গঠন

অ্যাপ্লিকেশন ব্যবহারকারীর ভূমিকা অনুসারে একটি নথি দেখা/ঢোকানো/পরিবর্তন/মুছে ফেলার অ্যাক্সেস সীমাবদ্ধ করা প্রয়োজন। ভূমিকা একটি টেবিলে একটি এন্ট্রি বোঝায় ভূমিকা একটি টেবিলের সাথে বহু-থেকে-অনেক সম্পর্কের সাথে যুক্ত ব্যবহারকারী. তুচ্ছতার কারণে টেবিলের বাস্তবায়নের বিবরণ বাদ দেওয়া হয়েছে। বিষয় এলাকার সাথে সম্পর্কিত সুনির্দিষ্ট বাস্তবায়নের বিবরণও বাদ দেওয়া হয়েছে।

বাস্তবায়ন

ভূমিকা, স্কিমা, টেবিল তৈরি করুন

ডাটাবেস অবজেক্ট তৈরি করা

CREATE ROLE store;
CREATE SCHEMA store AUTHORIZATION store;
CREATE TABLE store.docs
(
  id integer ,         --id документа
  man_id integer , --id менеджера документа
  stat_id integer ,  --id статуса документа
  ...
  is_del BOOLEAN DEFAULT FALSE 
);
ALTER TABLE store.docs ADD CONSTRAINT doc_pk PRIMARY KEY (id);
ALTER TABLE store.docs OWNER TO store ;

RLS বাস্তবায়নের জন্য ফাংশন তৈরি করা

SELECT সারি সম্পাদন করার ক্ষমতা পরীক্ষা করা হচ্ছে

চেক_সিলেক্ট করুন

CREATE OR REPLACE FUNCTION store.check_select ( current_id store.docs.id%TYPE ) RETURNS boolean AS $$
DECLARE
  result boolean ;
  curr_pid integer ;
  curr_stat_id integer ;
  doc_man_id integer ;
BEGIN 
  -- DBA имеет доступ ко всем документам
  IF SESSION_USER = 'curr_dba'
  THEN
    RETURN TRUE ;
  END IF ;
  --------------------------------

  --Если документ имеет метку 'удален' - не показывать в выборке
  SELECT
    is_del
  INTO
    result
  FROM
    store.docs
  WHERE
    id = current_id ;
 IF result = TRUE
 THEN
   RETURN FALSE ;
 END IF ;
 --------------------------------

 --Получить id текущего пользователя
 SELECT
   service_function.get_curr_pid ()
 INTO
   curr_pid ;
 --------------------------------

 --Получить id менеджера документа
 SELECT
   man_id
 INTO
   doc_man_id
 FROM
   store.docs
 WHERE
   id = current_id ;
 --------------------------------

 --Если менеджер документа не текущий пользователь или менеджер не назначен
 --добавить документ в выборку
 IF doc_man_id != curr_pid OR doc_man_id IS NULL
 THEN
   RETURN TRUE  ;
 ELSE
   --Получить текущий статус документа
   SELECT
     stat_id                                         
   INTO
     curr_statid
   FROM
     store.docs
   WHERE
     id = current_id ;
    
   --Если статус позволяет просмотреть документ - добавить документ в выборку                     
   IF curr_statid = 4 OR curr_statid = 9
   THEN
     RETURN TRUE ;
   ELSE
   --Иначе - исключить документ из выборки
     RETURN FALSE ;
    END IF ;
  END IF ;
  --------------------------------

 RETURN FALSE ;
END
$$ LANGUAGE plpgsql SECURITY DEFINER;
ALTER FUNCTION store.check_select( store.docs.id%TYPE  ) OWNER TO store ;
REVOKE EXECUTE ON FUNCTION store.check_select( store.docs.id%TYPE  ) FROM public; 
GRANT EXECUTE ON FUNCTION store.check_select( store.docs.id%TYPE  ) TO service_functions; 

সারি ঢোকানোর ক্ষমতা পরীক্ষা করা হচ্ছে

check_insert

CREATE OR REPLACE FUNCTION store.check_insert ( current_id store.docs.id%TYPE ) RETURNS boolean AS $$
DECLARE
  curr_role_id integer ;
BEGIN
  --DBA может добавлять строку в любом случае
  IF SESSION_USER = 'curr_dba'
  THEN
    RETURN TRUE ;
  END IF ;
  --------------------------------

 --Получить id роли текущего пользователя 
 SELECT
   service_functions.current_rid()
  INTO
    curr_role_id ;
 --------------------------------

--Если роль допускает возможность создания нового документа
--разрешить
IF curr_role_id = 3 OR curr_role_id = 5     
THEN
  RETURN TRUE ;
END IF ;
--------------------------------
RETURN FALSE  ;
END
$$ LANGUAGE plpgsql SECURITY DEFINER;
ALTER FUNCTION store.check_insert( store.docs.id%TYPE  ) OWNER TO store ;
REVOKE EXECUTE ON FUNCTION store.check_insert( store.docs.id%TYPE  ) FROM public;
GRANT EXECUTE ON FUNCTION store.check_insert( store.docs.id%TYPE  ) TO service_functions; 

একটি সারি মুছে ফেলার ক্ষমতা পরীক্ষা করা হচ্ছে

check_delete

CREATE OR REPLACE FUNCTION store.check_delete ( current_id store.docs.id%TYPE )
RETURNS boolean AS $$
BEGIN  
  --Только DBA может удалять строку 
  IF SESSION_USER = 'curr_dba'
  THEN
    RETURN TRUE ;
  END IF ;
  --------------------------------

  RETURN FALSE ;
END
$$ LANGUAGE plpgsql
SECURITY DEFINER;
ALTER FUNCTION store.check_delete( store.docs.id%TYPE  ) OWNER TO store ;
REVOKE EXECUTE ON FUNCTION store.check_delete( store.docs.id%TYPE  ) FROM public;

একটি সারি আপডেট করার ক্ষমতা পরীক্ষা করা হচ্ছে।

update_using

CREATE OR REPLACE FUNCTION store.update_using ( current_id store.docs.id%TYPE , is_del boolean  )
RETURNS boolean AS $$
BEGIN  
   --Документы имеющие статус 'удален' - не редактируются
   IF is_del 
   THEN
     RETURN FALSE ;
 ELSE
    RETURN TRUE ;
  END IF ;

END
$$ LANGUAGE plpgsql SECURITY DEFINER;
ALTER FUNCTION store.update_using(  store.docs.id%TYPE ,  boolean  ) OWNER TO store ;
REVOKE EXECUTE ON FUNCTION store.update_using(  store.docs.id%TYPE ,  boolean  ) FROM public;
GRANT EXECUTE ON FUNCTION store.update_using( store.docs.id%TYPE  ) TO service_functions;

আপডেট চেক

CREATE OR REPLACE FUNCTION store.update_with_check ( current_id store.docs.id%TYPE , is_del boolean )
RETURNS boolean AS $$
DECLARE
  current_rid integer ;
  current_statid integer ;
BEGIN                

  --DBA может просматривать строку 
  IF SESSION_USER = 'curr_dba'
  THEN
    RETURN TRUE ;
  END IF ;
  --------------------------------

 --Получить id роли текущего пользователя 
 SELECT
   service_functions.current_rid()
  INTO
    curr_role_id ;
 --------------------------------                            

 --Удаление документа - изменение признака 
 IF is_deleted
 THEN
   --Если роль пользователя ***
   IF current_role_id = 3        
   THEN
      SELECT
        stat_id                                          
      INTO
        curr_statid
      FROM
        store.docs
      WHERE
        id = current_id ;

      --Документ в статусе *** нельзя удалить 
      IF current_status_id = 11
      THEN
         RETURN FALSE ;
      ELSE
      --Можно удалить документ в других статусах
        RETURN TRUE ;
      END IF ;

    --Иначе , если роль пользователя ***
    ELSIF current_role_id = 5            
    THEN
      --Все статусы документа 
      RETURN TRUE ;
    ELSE
      --Другие пользователи не могут удалять документы
      RETURN FALSE ;
    END IF ;
 ELSE      
   --Обновление документа разрешено
    RETURN TRUE ;
END IF ;

RETURN FALSE ;
END
$$ LANGUAGE plpgsql SECURITY DEFINER;
ALTER FUNCTION store.update_with_check( storg.docs.id%TYPE ,  boolean   ) OWNER TO store ;
REVOKE EXECUTE ON FUNCTION store.update_with_check( storg.docs.id%TYPE ,  boolean   )  FROM public;
GRANT EXECUTE ON FUNCTION store.update_with_check( store.docs.id%TYPE  ) TO service_functions;

একটি টেবিলের জন্য সারি স্তরের নিরাপত্তা নীতি সক্রিয় করুন।

সারি স্তরের নিরাপত্তা সক্ষম করুন

ALTER TABLE store.docs ENABLE ROW LEVEL SECURITY ;

CREATE POLICY doc_select ON store.docs FOR SELECT TO service_functions USING ( (SELECT store.check_select(id)) );
CREATE POLICY doc_insert ON store.docs FOR INSERT TO service_functions WITH CHECK ( (SELECT store.check_insert(id)) );
CREATE POLICY docs_delete ON store.docs FOR DELETE TO service_functions USING ( (SELECT store.check_delete(id)) );

CREATE POLICY doc_update_using ON store.docs FOR UPDATE TO service_functions USING ( (SELECT store.update_using(id , is_del )) );
CREATE POLICY doc_update_check ON store.docs FOR UPDATE TO service_functions  WITH CHECK ( (SELECT store.update_with_check(id , is_del )) );

ফলাফল

এটা কাজ করে।

প্রস্তাবিত কৌশলটি ব্যবসায়িক ফাংশনের স্তর থেকে ডেটা স্টোরেজ স্তরে রোল মডেলের বাস্তবায়ন স্থানান্তর করা সম্ভব করেছে।

ব্যবসায়ের প্রয়োজনীয়তাগুলির প্রয়োজন হলে ফাংশনগুলিকে আরও পরিশীলিত ডেটা লুকানোর মডেলগুলি বাস্তবায়নের জন্য একটি টেমপ্লেট হিসাবে ব্যবহার করা যেতে পারে।

উত্স: www.habr.com