行级访问控制

行级访问控制特性将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。

用户可以在数据表创建行访问控制(Row Level Security)策略,该策略是指针对特定数据库用户、特定SQL操作生效的表达式。当数据库用户对数据表访问时,若SQL满足数据表特定的Row Level Security策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过AND或OR方式拼接,应用到执行计划上。

行级访问控制的目的是控制表中行级数据可见性,通过在数据表上预定义Filter,在查询优化阶段将满足条件的表达式应用到执行计划上,影响最终的执行结果。当前受影响的SQL语句包括SELECT,UPDATE,DELETE。

示例:某表中汇总了不同用户的数据,但是不同用户只能查看自身相关的数据信息,不能查看其他用户的数据信息。

  1. --创建用户alice, bob, peter
  2. postgres=# CREATE ROLE alice PASSWORD 'Gauss@123';
  3. postgres=# CREATE ROLE bob PASSWORD 'Gauss@123';
  4. postgres=# CREATE ROLE peter PASSWORD 'Gauss@123';
  6. --创建表all_data,包含不同用户数据信息
  7. postgres=# CREATE TABLE all_data(id int, role varchar(100), data varchar(100));
  9. --向数据表插入数据
  10. postgres=# INSERT INTO all_data VALUES(1, 'alice', 'alice data');
  11. postgres=# INSERT INTO all_data VALUES(2, 'bob', 'bob data');
  12. postgres=# INSERT INTO all_data VALUES(3, 'peter', 'peter data');
  14. --将表all_data的读取权限赋予alicebobpeter用户
  15. postgres=# GRANT SELECT ON all_data TO alice, bob, peter;
  17. --打开行访问控制策略开关
  18. postgres=# ALTER TABLE all_data ENABLE ROW LEVEL SECURITY;
  20. --创建行访问控制策略,当前用户只能查看用户自身的数据
  21. postgres=# CREATE ROW LEVEL SECURITY POLICY all_data_rls ON all_data USING(role = CURRENT_USER);
  23. --查看表详细信息
  24. postgres=# \d+ all_data
  25.                                Table "public.all_data"
  26.  Column |          Type          | Modifiers | Storage  | Stats target | Description
  27. --------+------------------------+-----------+----------+--------------+-------------
  28.  id     | integer                |           | plain    |              |
  29.  role   | character varying(100) |           | extended |              |
  30.  data   | character varying(100) |           | extended |              |
  31. Row Level Security Policies:
  32.     POLICY "all_data_rls"
  33.       USING (((role)::name = "current_user"()))
  34. Has OIDs: no
  35. Location Nodes: ALL DATANODES
  36. Options: orientation=row, compression=no, enable_rowsecurity=true
  38. --切换至用户alice,执行SQL"SELECT * FROM public.all_data"
  39. postgres=# SELECT * FROM public.all_data;
  40.  id | role  |    data
  41. ----+-------+------------
  42.   1 | alice | alice data
  43. (1 row)
  45. postgres=# EXPLAIN(COSTS OFF) SELECT * FROM public.all_data;
  46.                            QUERY PLAN
  47. ----------------------------------------------------------------
  48.  Streaming (type: GATHER)
  49.    Node/s: All datanodes
  50.    ->  Seq Scan on all_data
  51.          Filter: ((role)::name = 'alice'::name)
  52.  Notice: This query is influenced by row level security feature
  53. (5 rows)
  55. --切换至用户peter,执行SQL"SELECT * FROM public.all_data"
  56. postgres=# SELECT * FROM public.all_data;
  57.  id | role  |    data
  58. ----+-------+------------
  59.   3 | peter | peter data
  60. (1 row)
  62. postgres=#  EXPLAIN(COSTS OFF) SELECT * FROM public.all_data;
  63.                            QUERY PLAN
  64. ----------------------------------------------------------------
  65.  Streaming (type: GATHER)
  66.    Node/s: All datanodes
  67.    ->  Seq Scan on all_data
  68.          Filter: ((role)::name = 'peter'::name)
  69.  Notice: This query is influenced by row level security feature
  70. (5 rows)