今年我们在课堂上看到了 PostgreSQL 角色。我们的老师告诉我们,如果需要,为每个表甚至列使用具有自定义权限的不同角色会更安全。我们有一个项目,我们必须使用 PostgreSQL 来构建一个网站,该网站对连接用户的访问权限有限,这些用户可以是不同类型的(管理员、员工、客户)。为了遵循老师的建议,我们创建了具有不同权限的不同角色(每种类型的用户一个)。我们决定将 Go 用于我们的后端(使用令牌身份验证),但我不知道如何使用我们的角色,这些角色比用户更多。我在文档中读到您“打开”与数据库的连接一次,但要这样做,您必须提供 PostgreSQL 角色。我没有找到在不关闭并重新打开数据库的情况下更改连接角色的方法。如果我在不更改连接角色的情况下运行应用程序,PostgreSQL 如何控制用户是否有权访问请求所需的表。
2 回答
慕虎7371278
TA贡献1802条经验 获得超4个赞
您可以在 PostgreSQL 中动态更改角色。如果您以 身份登录nobody,并且nobody是角色的成员,您可以通过以下cleve方式成为角色admins
SET ROLE cleve;
但是在身份验证期间使用它是有问题的,因为没有什么可以阻止用户运行该语句
RESET ROLE;
再次成为nobody,然后冒充别人。
通常,您可以通过两种方式使用角色系统来利用数据库权限:
对于应用程序的每个用户,您都有一个个性化的数据库用户。
这当然只有在用户集相当稳定和有限的情况下才可行。
那么个人用户完全没有权限,有一定的角色,比如,,
admin等等。登录角色通过成为其中一个或多个角色的成员来分配权限,并且它们继承其权限。readeraccountant您没有个性化的数据库用户。
然后,每组权限只有一个登录角色,例如
accountant、admin等viewer。应用程序必须在建立数据库连接之前决定它应该连接哪个用户。如果您需要为此决定进行数据库查询,您可以作为
nobody具有非常有限权限的数据库用户执行这些查询。例如,它可能调用验证用户提供的密码的函数。
- 2 回答
- 0 关注
- 227 浏览
添加回答
举报
0/150
提交
取消