前言

在使用MemFire Cloud的BaaS服务进行应用开发时,比较困扰开发者的是RLS的使用。本篇先从基本概念入手对RLS进行简要介绍,帮助大家理解RLS的工作机制和基本使用方法。

什么是RLS ?

全称:Row level security,行级安全,允许系统管理员为数据库表创建访问策略(policy),以约束数据的可见性。当为一个表创建了policy后,相当于为该表增加了一个高优先级的过滤器。当用户访问该表时,如果policy生效,则会根据policy中定义的过滤条件来决定用户可操作的数据集合。

如何添加RLS

我们使用MemFire Cloud开发应用时,需要关注的对象包括数据表、对象存储的bucket,可以使用RLS来设置用户的访问权限,保证用户数据安全性。

数据表

数据表里的RLS默认是不开启的,此时注册应用的用户是可以增删改查数据表中任何数据。

当用户开启了RLS,但没有设置任何访问策略时,会拒绝用户访问该表中的任何数据。

补充说明:如果启用RLS,至少要创建一条最简单的策略(如:允许任何人访问数据),否接口调试时会查询不到数据。

以下是给指定表启用RLS的方法:

① 使用SQL命令启用RLS

RLS默认是不开启的,可针对每个表执行如下语句来对该表开启RLS功能:

  ALTER TABLE <name> ENABLE ROW LEVEL SECURITY
  

② 新建表时默认启用行级安全策略

③ 用户认证->策略->给指定表启用RLS

对象存储bucket

对象存储bucket的RLS默认就是开启的,无需手动开启。新建bucket时,如果选择公开bucket,则任何人可以访问bucket中的对象文件;否则无权访问。

如何给数据表设置访问权限

创建一个应用后,MemFire Cloud后台会默认创建一个auth.users系统表,主要用来记录用户的注册信息,其中有三个字段:id(用户唯一标识UID)、email(用户注册邮箱)、role(用户角色信息)。

应用开发者在创建数据表时,可使用一个字段来标记是哪个用户的数据,通常采用id(用户唯一标识UID)、email(用户注册邮箱)来标记。

常用函数介绍

MemFire Cloud封装了三个函数,用于获取向数据库发出请求的不同唯一标识,其中包括:

auth.role() :用于获取向数据库发出请求的用户的当前角色。它可以被用于策略中,根据用户的角色限制或允许访问某些表或行。该函数返回一个代表用户角色的字符串,它可以是下列之一:已认证的(authenticated),匿名的(anon),或你定义的自定义角色。

auth.email() **:**用于获取向数据库发出请求的用户的电子邮件。这个函数可以在策略中使用,根据用户的电子邮件限制或允许访问某些表或行。

auth.uid() : 用于获取向数据库提出请求的用户的唯一标识符(UID)。这个函数可以在策略中使用,根据用户的UID限制或允许访问某些表或行。

策略实例

  • 为所有用户启用访问权限
    • 为所有用户提供对数据表的访问权限

    • **USING设置为true**时,表示访问数据表时不需要做任何校验

  Create POLICY "策略名称" 
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( true ) ;
  
  • 仅允许身份验证用户启用访问权限

为所有经过身份验证的用户提供对数据表的访问权限

  Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( auth.role() = 'authenticated')
  
  • 根据电子邮件为用户启用权限

假定您的表有一个“email“列,并允许用户操作”email“列与其电子邮件匹配的行

  Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( auth.email() = "email" ) ;
  
  • 根据用户ID为用户启用访问权限

假定您的表有一个“user_id“列,并允许用户操作“user_id“列与其ID 匹配的行

  Create POLICY "策略名称"
ON public."表名"
AS PERMISSIVE
FOR SELECT
USING( auth.uid() = "id" ) ;
  

如何给bucket存储桶设置访问权限

判断条件

① 指定路径的文件

  name='admin/assets/example.png'
  

② 获取文件的指定层级文件夹名称

  (storage.foldername(name))[1]='admin'
  

③ 发起请求用户的角色,这里的角色可以是已认证的(authenticated),匿名的(anon),或你定义的自定义角色。

  auth.role()='authenticated'
  

④ 发起请求的用户uid等于文件夹名称

  auth.uid()::text=(storage.foldername(name))[1]
  

⑤获取文件的扩展名

  storage."extension"(name)='jpg'
  

⑥ 发起请求的用户uid等于指定值

  auth.uid()::text='abcd'
  

策略实例

  • 允许匿名用户访问public文件夹的JPG图片
  CREATE POLICY "策略名称"
ON storage.objects 
--- 指定操作类型
FOR SELECT 
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
  bucket_id = '存储桶名称'
  -- 只允许访问JPG文件
  AND storage."extension"(name) = 'jpg'
  -- 在public文件夹下
  AND LOWER((storage.foldername(name))[1]) = 'public'
  -- 对匿名用户
  AND auth.role() = 'anon'
);
  
  • 允许用户访问以个人uid命名的文件夹
  CREATE POLICY "策略名称"
ON storage.objects 
--- 指定操作类型
FOR SELECT  
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
    bucket_id = '存储桶名称'
    ---发起请求的用户uid等于文件夹名称
    AND auth.uid()::text = (storage.foldername(name))[1]
);
  
  • 仅允许经过身份验证的用户访问文件夹
  CREATE POLICY "策略名称"
ON storage.objects 
--- 指定操作类型
FOR SELECT  
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
    AND (storage.foldername(name))[1] = 'private'
    -- 仅允许身份验证访问
    AND auth.role() = 'authenticated'
);
  
  • 仅允许特定用户访问名为admin/assets文件夹
  CREATE POLICY "策略名称"
ON storage.objects 
--- 指定操作类型
OR SELECT 
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
    bucket_id = '存储桶名称'
    ---获取文件的指定层级文件夹名称
    AND (storage.foldername(name))[1] = 'admin' AND (storage.foldername(name))[2] = 'assets'
    ---指定特定用户才能访问
    AND auth.uid()::text = 'd7bed83c-44a0-4a4f-925f-efc384ea1e50'
);
  
  • 仅允许特定用户访问一个文件
  CREATE POLICY "策略名称"
ON storage.objects 
--- 指定操作类型
FOR SELECT  
---使用USING 或 WITH CHECK 来检查
{USING | WITH CHECK} (
    bucket_id = '存储桶名称'
    ---指定路径的文件
    AND name = 'admin/assets/Costa Rican Frog.jpg'
    ---指定特定用户才能访问
    AND auth.uid()::text = 'd7bed83c-44a0-4a4f-925f-efc384ea1e50'
);
  

语法说明

  CREATE POLICY name ON table_name
    [ AS { PERMISSIVE | RESTRICTIVE } ]
    [ FOR { ALL | SELECT | INSERT | UPDATE | DELETE } ]
    [ TO { role_name | PUBLIC | CURRENT_ROLE | CURRENT_USER | SESSION_USER } [, ...] ]
    [ USING ( using_expression ) ]
    [ WITH CHECK ( check_expression ) ]
  
  • name:同一个表上的policy不能重复,不同表的policy可以重复。
  • table_name:为哪个表创建policy。
  • AS,policy的生效模式,PERMISSIVE ,宽松模式,多个policy采用 or 进行组合判断,只要有一个policy过了就能访问数据;RESTRICTIVE,排他模式,必须满足的条件,当与其他policy组合使用时,使用 and 进行组合,只改条件不满足则其他条件再宽松也无用。默认PERMISSIVE 。
  • For,对哪个操作生效,默认ALL,还可选择SELECT | INSERT | UPDATE | DELETE。
  • TO,对哪个role生效,默认public。
  • USING:对表中的已有数据进行检查的语句。
  • WITH CHECK:对新数据进行检查的语句。