sql >> Databáze >  >> RDS >> PostgreSQL

Po připojení k databázi přepněte roli

--create a user that you want to use the database as:

create role neil;

--create the user for the web server to connect as:

create role webgui noinherit login password 's3cr3t';

--let webgui set role to neil:

grant neil to webgui; --this looks backwards but is correct.

webgui je nyní v neil skupina, takže webgui může zavolat set role neil . Nicméně webgui nezdědil neil oprávnění uživatele.

Později se přihlaste jako webgui:

psql -d some_database -U webgui
(enter s3cr3t as password)

set role neil;

webgui nepotřebuje superuser povolení k tomu.

Chcete set role na začátku relace databáze a resetujte ji na konci relace. Ve webové aplikaci to odpovídá získání připojení z vašeho fondu připojení k databázi a jeho uvolnění. Zde je příklad použití fondu připojení Tomcat a Spring Security:

public class SetRoleJdbcInterceptor extends JdbcInterceptor {

    @Override
    public void reset(ConnectionPool connectionPool, PooledConnection pooledConnection) {

        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        if(authentication != null) {
            try {

                /* 
                  use OWASP's ESAPI to encode the username to avoid SQL Injection. Can't use parameters with SET ROLE. Need to write PG codec.

                  Or use a whitelist-map approach
                */
                String username = ESAPI.encoder().encodeForSQL(MY_CODEC, authentication.getName());

                Statement statement = pooledConnection.getConnection().createStatement();
                statement.execute("set role \"" + username + "\"");
                statement.close();
            } catch(SQLException exp){
                throw new RuntimeException(exp);
            }
        }
    }

    @Override
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

        if("close".equals(method.getName())){
            Statement statement = ((Connection)proxy).createStatement();
            statement.execute("reset role");
            statement.close();
        }

        return super.invoke(proxy, method, args);
    }
}


  1. SQL se připojí

  2. Jak se počítá shlukovací faktor Oracle Index

  3. Vyhledání pořadí uzlů v dokumentu XML na serveru SQL

  4. Jak mohu AKTUALIZOVAT řádek v tabulce nebo jej VLOŽIT, pokud neexistuje?