MemFire教程|RLS使用指南
前言
前面讲过PostgreSQL RLS介绍,在使用MemFire Cloud的BaaS服务进行应用开发时,比较困扰开发者的是RLS的使用。本篇从基本的RLS使用以及基本示例入手,让用户理解如何使用RLS。
什么是RLS ?
全称:Row level security,行级安全,允许系统管理员为数据库表创建访问策略(policy),以约束数据的可见性。创建策略语法详见:语法说明。当为一个表创建了policy后,相当于为该表增加了一个高优先级的过滤器。当用户访问该表时,如果policy生效,则会根据policy中定义的过滤条件来决定用户可操作的数据集合。
如何添加RLS
我们使用MemFire Cloud开发应用时,需要关注的对象包括数据表、云存储的bucket,可以使用RLS来设置用户的访问权限,保证用户数据安全性。
数据表
数据表里的RLS默认是不开启的,此时注册应用的用户是可以增删改查数据表中任何数据。
当用户开启了RLS,但没有设置任何访问策略时,会拒绝用户访问该表中的任何数据。
「补充说明」:如果启用RLS,至少要创建一条最简单的策略(如:允许任何人访问数据),否则接口调试时会查询不到数据。
以下是给指定表启用RLS的三种方法:
① 使用SQL命令启用RLS
RLS默认是不开启的,可针对每个表执行如下语句来对该表开启RLS功能:
ALTER TABLE ENABLE ROW LEVEL SECURITY
② 新建表时默认启用行级安全策略
③ 用户认证->策略->给指定表启用RLS
云存储bucket
云存储bucket的RLS默认就是开启的,无需手动开启。新建bucket时,如果选择公开bucket,则任何人可以访问bucket中的对象文件;否则无权访问。
如何给数据表设置访问权限
创建一个应用后,MemFire Cloud后台会默认创建一个auth.users系统表,主要用来记录用户的注册信息,其中有三个字段:id(用户唯一标识UID)、email(用户注册邮箱)、role(用户角色信息)。
应用开发者在创建数据表时,可使用一个字段来标记是哪个用户的数据,通常采用id(用户唯一标识UID)、email(用户注册邮箱)来标记。
常用授权对象
MemFire Cloud封装了三个授权对象,用于获取向数据库发出请求的不同唯一标识,其中包括:
① 「角色」: 若想要根据用户的角色限制或允许访问某些表或行,则可以使用to,to用于获取向数据库发出请求的用户的当前角色。to后面可以跟着下列之一:已认证的(authenticated),匿名的(anon),或你定义的自定义角色。
例如:仅允许身份验证用户启用访问权限
Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
to authenticated
using (
true
);
② 「邮箱」:若想要根据用户的电子邮件限制或允许访问某些表或行,则可以使用auth.jwt() ->> ‘email’,它用于获取向数据库提出请求的用户的email。
例如:根据电子邮件为用户启用权限
假定您的表有一个“email”列,并允许用户操作“email”列与其电子邮件匹配的行
Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( auth.jwt() ->> 'email' = 'email' ) ;
③ 「用户id」:若想要根据用户的id限制或允许访问某些表或行,则可以使用auth.uid(),它用于获取向数据库提出请求的用户的唯一标识符(UID)。
例如:根据用户ID为用户启用访问权限
假定您的表有一个“user_id”列,并允许用户操作“user_id”列与其ID 匹配的行
Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( auth.uid() = "user_id" ) ;
策略实例
- 为所有用户启用访问权限
为所有用户提供对数据表的访问权限
「当USING设置为true时,表示访问数据表时不需要做任何校验」
Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( true ) ;
- 仅允许身份验证用户启用访问权限
为所有经过身份验证的用户提供对数据表的访问权限
Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
to authenticated
using (
true
);
- 根据电子邮件为用户启用权限
假定您的表有一个“email“列,并允许用户操作”email“列与其电子邮件匹配的行
Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( auth.jwt() ->> 'email' = 'email' ) ;
- 根据用户ID为用户启用访问权限
假定您的表有一个“user_id“列,并允许用户操作“user_id“列与其ID 匹配的行
Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( auth.uid() = "user_id" ) ;
如何给bucket存储桶设置访问权限
判断条件
① 指定路径的文件,例如:
name='admin/assets/example.png'
② 获取文件的指定层级文件夹名称,例如:
(storage.foldername(name))[1]='admin'
③ 发起请求用户的角色,这里的角色可以是已认证的(authenticated),匿名的(anon),或你定义的自定义角色,例如:
to authenticated
④ 发起请求的用户uid等于文件夹名称,例如:
auth.uid()::text=(storage.foldername(name))[1]
⑤获取文件的扩展名,例如:
storage."extension"(name)='jpg'
⑥ 发起请求的用户uid等于指定值,例如:
auth.uid()::text='abcd'
策略实例
- 允许匿名用户访问public文件夹的JPG图片
CREATE POLICY "策略名称"
ON storage.objects
--- 指定操作类型
FOR SELECT
-- 对匿名用户
TO anon
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
bucket_id = '存储桶名称'
-- 只允许访问JPG文件
AND storage."extension"(name) = 'jpg'
-- 在public文件夹下
AND LOWER((storage.foldername(name))[1]) = 'public'
);
- 允许用户访问以个人uid命名的文件夹
CREATE POLICY "策略名称"
ON storage.objects
--- 指定操作类型
FOR SELECT
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
bucket_id = '存储桶名称'
---发起请求的用户uid等于文件夹名称
AND auth.uid()::text = (storage.foldername(name))[1]
);
- 仅允许经过身份验证的用户访问文件夹
CREATE POLICY "策略名称"
ON storage.objects
--- 指定操作类型
FOR SELECT
-- 仅允许身份验证访问
to authenticated
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
AND (storage.foldername(name))[1] = 'private'
);
- 仅允许特定用户访问名为admin/assets文件夹
CREATE POLICY "策略名称"
ON storage.objects
--- 指定操作类型
OR SELECT
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
bucket_id = '存储桶名称'
---获取文件的指定层级文件夹名称
AND (storage.foldername(name))[1] = 'admin'
AND (storage.foldername(name))[2] = 'assets'
---指定特定用户才能访问
AND auth.uid()::text = 'd7bed83c-44a0-4a4f-925f-efc384ea1e50'
);
- 仅允许特定用户访问一个文件
CREATE POLICY "策略名称"
ON storage.objects
--- 指定操作类型
FOR SELECT
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
bucket_id = '存储桶名称'
---指定路径的文件
AND name = 'admin/assets/Costa Rican Frog.jpg'
---指定特定用户才能访问
AND auth.uid()::text = 'd7bed83c-44a0-4a4f-925f-efc384ea1e50'
);
语法说明
CREATE POLICY name ON table_name
[ AS { PERMISSIVE | RESTRICTIVE } ]
[ FOR { ALL | SELECT | INSERT | UPDATE | DELETE } ]
[ TO { role_name | PUBLIC | CURRENT_ROLE | CURRENT_USER | SESSION_USER } [, ...] ]
[ USING ( using_expression ) ]
[ WITH CHECK ( check_expression ) ]
- name:同一个表上的policy不能重复,不同表的policy可以重复。
- table_name:为哪个表创建policy。
- AS,policy的生效模式,PERMISSIVE ,宽松模式,多个policy采用 or 进行组合判断,只要有一个policy过了就能访问数据;RESTRICTIVE,排他模式,必须满足的条件,当与其他policy组合使用时,使用 and 进行组合,只改条件不满足则其他条件再宽松也无用。默认PERMISSIVE 。
- For,对哪个操作生效,默认ALL,还可选择SELECT | INSERT | UPDATE | DELETE。
- TO,对哪个role生效,默认public。
- USING:对表中的已有数据进行检查的语句。
- WITH CHECK:对新数据进行检查的语句。