CREATE POLICY — 为表定义新的行级安全策略
CREATE POLICYname
ONtable_name
[ AS { PERMISSIVE | RESTRICTIVE } ] [ FOR { ALL | SELECT | INSERT | UPDATE | DELETE } ] [ TO {role_name
| PUBLIC | CURRENT_ROLE | CURRENT_USER | SESSION_USER } [, ...] ] [ USING (using_expression
) ] [ WITH CHECK (check_expression
) ]
CREATE POLICY
命令为表定义新的行级安全策略。请注意,必须在表上启用行级安全性(使用 ALTER TABLE ... ENABLE ROW LEVEL SECURITY
),才能应用创建的策略。
策略授予选择、插入、更新或删除与相关策略表达式匹配的行的权限。现有表行会根据 USING
中指定的表达式进行检查,而通过 INSERT
或 UPDATE
创建的新行则会根据 WITH CHECK
中指定的表达式进行检查。当 USING
表达式对于给定行返回 true 时,该行对用户可见,而如果返回 false 或 null,则该行不可见。当 WITH CHECK
表达式对于给定行返回 true 时,该行将被插入或更新,而如果返回 false 或 null,则会发生错误。
对于 INSERT
、UPDATE
和 MERGE
语句,WITH CHECK
表达式在 BEFORE
触发器触发之后,以及在进行任何实际数据修改之前强制执行。因此,BEFORE ROW
触发器可能会修改要插入的数据,从而影响安全策略检查的结果。WITH CHECK
表达式在任何其他约束之前强制执行。
策略名称是按表划分的。因此,一个策略名称可以用于许多不同的表,并且每个表都有一个适合该表的定义。
策略可以应用于特定的命令或特定的角色。除非另有规定,否则新创建的策略的默认设置是应用于所有命令和角色。多个策略可以应用于单个命令;请参阅下文了解更多详细信息。表 297 总结了不同类型的策略如何应用于特定命令。
对于可以同时具有 USING
和 WITH CHECK
表达式的策略(ALL
和 UPDATE
),如果没有定义 WITH CHECK
表达式,则 USING
表达式将用于确定哪些行是可见的(常规 USING
情况)以及允许添加哪些新行(WITH CHECK
情况)。
如果为表启用了行级安全性,但不存在适用的策略,则会假定一个 “默认拒绝” 策略,因此不会有任何行可见或可更新。
name
要创建的策略的名称。它必须与该表的任何其他策略的名称不同。
table_name
策略应用的表的名称(可选的模式限定)。
PERMISSIVE
指定将策略创建为允许性策略。适用于给定查询的所有允许性策略将使用布尔 “OR” 运算符组合在一起。通过创建允许性策略,管理员可以增加可以访问的记录集。默认情况下,策略是允许性的。
RESTRICTIVE
指定将策略创建为限制性策略。适用于给定查询的所有限制性策略将使用布尔 “AND” 运算符组合在一起。通过创建限制性策略,管理员可以减少可以访问的记录集,因为每个记录都必须通过所有限制性策略。
请注意,至少需要一个允许性策略来授予对记录的访问权限,然后才能有效地使用限制性策略来减少该访问权限。如果仅存在限制性策略,则任何记录都不可访问。当同时存在允许性策略和限制性策略时,只有当至少一个允许性策略通过,并且所有限制性策略都通过时,记录才可访问。
command
策略应用的命令。有效选项包括 ALL
、SELECT
、INSERT
、UPDATE
和 DELETE
。ALL
是默认值。请参阅下文了解有关如何应用这些命令的具体信息。
role_name
要应用策略的角色。默认值为 PUBLIC
,这将把策略应用于所有角色。
using_expression
任何SQL条件表达式(返回 boolean
)。条件表达式不能包含任何聚合函数或窗口函数。如果启用行级安全性,则此表达式将添加到引用该表的查询中。表达式返回 true 的行将可见。表达式返回 false 或 null 的任何行对用户都不可见(在 SELECT
中),并且不可用于修改(在 UPDATE
或 DELETE
中)。此类行会被静默抑制;不会报告错误。
check_expression
任何SQL条件表达式(返回 boolean
)。条件表达式不能包含任何聚合函数或窗口函数。如果启用行级安全性,则此表达式将用于对该表的 INSERT
和 UPDATE
查询中。仅允许表达式计算结果为 true 的行。如果表达式对于任何插入的记录或任何由更新产生的记录计算结果为 false 或 null,则会引发错误。请注意,check_expression
是针对行的建议新内容而不是原始内容进行评估的。
ALL
#对策略使用 ALL
意味着它将应用于所有命令,而无论命令类型如何。如果存在 ALL
策略并且存在更具体的策略,则将应用 ALL
策略和更具体的策略(或多个策略)。此外,如果仅定义了 USING
表达式,则 ALL
策略将应用于查询的选择侧和修改侧,在这两种情况下都使用 USING
表达式。
例如,如果发出 UPDATE
,则 ALL
策略将适用于 UPDATE
可以选择哪些行进行更新(应用 USING
表达式)以及生成的更新行,以检查是否允许将它们添加到表中(应用 WITH CHECK
表达式,如果已定义,否则应用 USING
表达式)。如果 INSERT
或 UPDATE
命令尝试将不通过 ALL
策略的 WITH CHECK
表达式的行添加到表中,则整个命令将被中止。
SELECT
#对策略使用 SELECT
意味着它将应用于 SELECT
查询,并且只要在定义策略的关系上需要 SELECT
权限时都适用。结果是,在 SELECT
查询期间,只会返回关系中通过 SELECT
策略的那些记录,并且需要 SELECT
权限的查询(例如 UPDATE
)也只会看到 SELECT
策略允许的那些记录。SELECT
策略不能具有 WITH CHECK
表达式,因为它仅适用于从关系中检索记录的情况。
INSERT
#对策略使用 INSERT
意味着它将应用于 INSERT
命令和包含 INSERT
操作的 MERGE
命令。不通过此策略的正在插入的行将导致策略违规错误,并且整个 INSERT
命令将被中止。INSERT
策略不能具有 USING
表达式,因为它仅适用于将记录添加到关系的情况。
请注意,具有 ON CONFLICT DO UPDATE
的 INSERT
仅针对通过 INSERT
路径附加到关系的行检查 INSERT
策略的 WITH CHECK
表达式。
UPDATE
#对策略使用 UPDATE
意味着它将应用于 UPDATE
、SELECT FOR UPDATE
和 SELECT FOR SHARE
命令,以及 INSERT
命令的辅助 ON CONFLICT DO UPDATE
子句。包含 UPDATE
操作的 MERGE
命令也会受到影响。由于 UPDATE
涉及到提取现有记录并将其替换为新的修改记录,因此 UPDATE
策略接受 USING
表达式和 WITH CHECK
表达式。USING
表达式决定 UPDATE
命令将看到哪些记录以对其进行操作,而 WITH CHECK
表达式定义允许将哪些修改后的行存储回关系中。
任何更新后的值未通过 WITH CHECK
表达式的行都会导致错误,并且整个命令将被中止。如果仅指定了 USING
子句,则该子句将用于 USING
和 WITH CHECK
两种情况。
通常,UPDATE
命令还需要从正在更新的关系的列中读取数据(例如,在 WHERE
子句或 RETURNING
子句中,或者在 SET
子句的右侧表达式中)。在这种情况下,还需要对正在更新的关系具有 SELECT
权限,并且除了 UPDATE
策略之外,还将应用适当的 SELECT
或 ALL
策略。因此,用户必须通过 SELECT
或 ALL
策略访问正在更新的行,此外还需要通过 UPDATE
或 ALL
策略获得更新行的权限。
当 INSERT
命令具有辅助的 ON CONFLICT DO UPDATE
子句时,如果采用 UPDATE
路径,则首先根据任何 UPDATE
策略的 USING
表达式检查要更新的行,然后根据 WITH CHECK
表达式检查新的更新行。但是请注意,与独立的 UPDATE
命令不同,如果现有行未通过 USING
表达式,则会抛出错误(UPDATE
路径永远不会被静默跳过)。
DELETE
#对策略使用 DELETE
意味着它将应用于 DELETE
命令。只有通过此策略的行才会被 DELETE
命令看到。如果某些行未通过 DELETE
策略的 USING
表达式,那么它们可以通过 SELECT
查看,但不能用于删除。
在大多数情况下,DELETE
命令还需要从正在删除的关系的列中读取数据(例如,在 WHERE
子句或 RETURNING
子句中)。在这种情况下,还需要对该关系具有 SELECT
权限,并且除了 DELETE
策略之外,还将应用适当的 SELECT
或 ALL
策略。因此,用户必须通过 SELECT
或 ALL
策略访问正在删除的行,此外还需要通过 DELETE
或 ALL
策略获得删除行的权限。
DELETE
策略不能具有 WITH CHECK
表达式,因为它仅在从关系中删除记录的情况下应用,因此没有新的行要检查。
表 297. 按命令类型应用的策略
命令 | SELECT/ALL 策略 |
INSERT/ALL 策略 |
UPDATE/ALL 策略 |
DELETE/ALL 策略 |
|
---|---|---|---|---|---|
USING 表达式 |
WITH CHECK 表达式 |
USING 表达式 |
WITH CHECK 表达式 |
USING 表达式 |
|
SELECT |
现有行 | — | — | — | — |
SELECT FOR UPDATE/SHARE |
现有行 | — | 现有行 | — | — |
INSERT / MERGE ... THEN INSERT |
— | 新行 | — | — | — |
INSERT ... RETURNING |
新行 [a] | 新行 | — | — | — |
UPDATE / MERGE ... THEN UPDATE |
现有行 & 新行 [a] | — | 现有行 | 新行 | — |
DELETE |
现有行 [a] | — | — | — | 现有行 |
ON CONFLICT DO UPDATE |
现有行 & 新行 | — | 现有行 | 新行 | — |
[a] 如果需要读取现有行或新行的访问权限(例如,引用关系中列的 |
当多个不同命令类型的策略应用于同一命令时(例如,SELECT
和 UPDATE
策略应用于 UPDATE
命令),则用户必须同时具有这两种类型的权限(例如,从关系中选择行的权限以及更新它们的权限)。因此,一种类型的策略的表达式与另一种类型的策略的表达式使用 AND
运算符组合。
当同一命令类型的多个策略应用于同一命令时,则必须至少有一个 PERMISSIVE
策略授予对关系的访问权限,并且所有 RESTRICTIVE
策略都必须通过。因此,所有 PERMISSIVE
策略表达式都使用 OR
组合,所有 RESTRICTIVE
策略表达式都使用 AND
组合,并且结果使用 AND
组合。如果没有 PERMISSIVE
策略,则拒绝访问。
请注意,为了组合多个策略,ALL
策略被视为与所应用的任何其他类型的策略具有相同的类型。
例如,在需要 SELECT
和 UPDATE
权限的 UPDATE
命令中,如果每种类型都有多个适用的策略,它们将按如下方式组合
expression
from RESTRICTIVE SELECT/ALL policy 1 ANDexpression
from RESTRICTIVE SELECT/ALL policy 2 AND ... AND (expression
from PERMISSIVE SELECT/ALL policy 1 ORexpression
from PERMISSIVE SELECT/ALL policy 2 OR ... ) ANDexpression
from RESTRICTIVE UPDATE/ALL policy 1 ANDexpression
from RESTRICTIVE UPDATE/ALL policy 2 AND ... AND (expression
from PERMISSIVE UPDATE/ALL policy 1 ORexpression
from PERMISSIVE UPDATE/ALL policy 2 OR ... )
您必须是表的所有者才能为其创建或更改策略。
虽然策略将应用于针对数据库中表的显式查询,但当系统执行内部参照完整性检查或验证约束时,不会应用这些策略。这意味着存在确定给定值是否存在的间接方法。一个例子是尝试将重复值插入到作为主键或具有唯一约束的列中。如果插入失败,则用户可以推断该值已经存在。(此示例假定策略允许用户插入他们不允许查看的记录。)另一个例子是允许用户插入引用另一个隐藏表的表。用户可以通过将值插入引用表中来确定是否存在,其中成功表示该值存在于被引用表中。可以通过仔细制定策略来解决这些问题,以防止用户能够插入、删除或更新任何可能指示他们无法查看的值的记录,或者使用生成的值(例如,代理键)而不是具有外部含义的键。
通常,系统会在用户查询中出现的限定条件之前强制执行使用安全策略施加的过滤器条件,以防止将受保护的数据无意中暴露给可能不受信任的用户定义函数。但是,系统(或系统管理员)标记为 LEAKPROOF
的函数和运算符可能会在策略表达式之前进行评估,因为它们被认为是可信的。
由于策略表达式直接添加到用户的查询中,因此它们将以运行整体查询的用户的权限运行。因此,使用给定策略的用户必须能够访问表达式中引用的任何表或函数,否则在尝试查询启用行级安全性的表时,他们只会收到权限拒绝错误。但这不会改变视图的工作方式。与普通查询和视图一样,视图引用的表的权限检查和策略将使用视图所有者的权限以及适用于视图所有者的任何策略,除非视图是使用 security_invoker
选项定义的(请参阅 CREATE VIEW
)。
没有为 MERGE
定义单独的策略。相反,在执行 MERGE
时,将根据执行的操作应用为 SELECT
、INSERT
、UPDATE
和 DELETE
定义的策略。
有关其他讨论和实际示例,请参阅第 5.9 节。
CREATE POLICY
是 PostgreSQL 扩展。
如果您发现文档中有任何不正确、与您使用特定功能的经验不符或需要进一步澄清的地方,请使用此表单报告文档问题。