ACL(Access Control List 访问控制列表)
- role: 角色
- user: 用户
- privilege: 权限
- permission: 权限许可
- grant: 授予 role/user 某个权限, 让 ta 拥有 这个权限的权限许可。
- revoke : 撤销权限许可
通常是以角色为中心, 一个角色关联多个用户, 一个角色关联多个权限
ACL: Access Control List
简介:以前非常盛行的一种权限设计,它的核心主要在于用户和权限直接挂钩。
优点:简单易用、开发便捷。
缺点:用户是直接和权限挂钩,导致了在授予权限的时候的复杂性,比较分散,不太易于管理。
例子:常见的文件系统,直接给用户家权限。比如给用户加读写的权限。
RBAC:Role Based Access Control
简介:基于角色的访问控制系统。权限是与角色进行相关联,用户通过成为适当的角色成员从而得到这些角色的权限。
优点:简化了用户和权限的管理,用过对用户进行分类,使得其与角色和权限关联起来。
缺点:开发起来相对于ACL复杂。
例子:基于REAC模型的权限验证框架与应用Apache Shiro、Spring security。
ACL&RBAC的比较
【设计权限系统】ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景
PostgreSQL的ACL
以下这些表里都有对应的ACL列(类型都是aclitem[]), 用于记录这些对象的访问权限
pg_database.datacl
pg_tablespace.spcacl
pg_class.relacl
pg_attribute.attacl
pg_type.typacl
pg_proc.proacl
pg_language.lanacl
aclitem的格式rolename=xxxx/yyyy, 分为3个部分, 含义分别是
- rolename -- privileges granted to a role, 被授权者
- xxxx -- privileges granted to , 权限列表参考 "privileges - 权限列表" 章节
- yyyy -- role that granted this privilege, 授权者
privileges - 权限列表
r -- SELECT ("read")
w -- UPDATE ("write")
a -- INSERT ("append")
d -- DELETE
D -- TRUNCATE
x -- REFERENCES
t -- TRIGGER
X -- EXECUTE
U -- USAGE
C -- CREATE
c -- CONNECT
T -- TEMPORARY
arwdDxt -- ALL PRIVILEGES (for tables, varies for other objects)
* -- grant option for preceding privilege
跟acl有关的函数
postgres=# \df acl*
List of functions
Schema | Name | Result data type | Argument data types | Type
------------+-------------+------------------+----------------------------------------------------------------------------------------------------+------
pg_catalog | aclcontains | boolean | aclitem[], aclitem | func
pg_catalog | acldefault | aclitem[] | "char", oid | func
pg_catalog | aclexplode | SETOF record | acl aclitem[], OUT grantor oid, OUT grantee oid, OUT privilege_type text, OUT is_grantable boolean | func
pg_catalog | aclinsert | aclitem[] | aclitem[], aclitem | func
pg_catalog | aclitemeq | boolean | aclitem, aclitem | func
pg_catalog | aclitemin | aclitem | cstring | func
pg_catalog | aclitemout | cstring | aclitem | func
pg_catalog | aclremove | aclitem[] | aclitem[], aclitem | func
(8 rows)
aclexplodereturns an aclitem array as a set rows. Output columns are grantor oid, grantee oid (0 for PUBLIC), granted privilege as text (SELECT, ...) and whether the prilivege is grantable as boolean.
makeaclitemperforms the inverse operation.
https://www.postgresql.org/docs/13/functions-info.html
PostgreSQL 9.5+ row-level security
PostgreSQL的实现原理就是, 在分析SQL生成执行计划的时候, 改写你的SQL, 加上过滤条件:
create table test_policy(id int, usr name, tm timestamp default clock_timestamp());
CREATE POLICY pol1 ON test_policy
FOR SELECT TO PUBLIC
USING (usr = current_user) -- 通过using子句设置过滤条件
;
-- usr = current_user: test_policy.usr == 当前用户,则此行可见。
PostgreSQL 行级安全性策略应用
ACL 扩展
仓库地址: https://github.com/arkhipov/acl.git
ACE: [type]/[flags]/[who]=[mask]
type: 控制类型, a代表allow, d代表deny
flags: 可用于自定义权限, There are 16 custom flags and 16 custom permission.
who: 角色, 空字符串代表所有角色
mask: permissions, 权限掩码, 代表有权限还是没权限
层级结构的ACL, 用下面这个函数合并:
acl_merge(ace[] parent_acl, ace[] acl, bool container, bool deny_first)
检查是否有权限访问
acl_check_access(ace[] acl, text mask, bool implicit_allow)
acl_check_access(ace[] acl, int4 mask, bool implicit_allow)
acl_check_access(ace[] acl, text mask, oid role, bool implicit_allow)
acl_check_access(ace[] acl, int4 mask, oid role, bool implicit_allow)
acl_check_access(ace[] acl, text mask, name role, bool implicit_allow)
acl_check_access(ace[] acl, int4 mask, name role, bool implicit_allow)
参考资料
- PostgreSQL 逻辑结构 和 权限体系 介绍