RLS使用教程

前言

在使用MemFire Cloud的BaaS服务进行应用开发时，比较困扰开发者的是RLS的使用。本篇先从基本概念入手对RLS进行简要介绍，帮助大家理解RLS的工作机制和基本使用方法。

什么是RLS ？#

全称：Row level security，行级安全，允许系统管理员为数据库表创建访问策略（policy），以约束数据的可见性。当为一个表创建了policy后，相当于为该表增加了一个高优先级的过滤器。当用户访问该表时，如果policy生效，则会根据policy中定义的过滤条件来决定用户可操作的数据集合。

如何添加RLS#

我们使用MemFire Cloud开发应用时，需要关注的对象包括数据表、对象存储的bucket，可以使用RLS来设置用户的访问权限，保证用户数据安全性。

数据表

数据表里的RLS默认是不开启的，此时注册应用的用户是可以增删改查数据表中任何数据。

当用户开启了RLS，但没有设置任何访问策略时，会拒绝用户访问该表中的任何数据。

补充说明：如果启用RLS，至少要创建一条最简单的策略（如：允许任何人访问数据），否接口调试时会查询不到数据。

以下是给指定表启用RLS的方法：

① 使用SQL命令启用RLS

RLS默认是不开启的，可针对每个表执行如下语句来对该表开启RLS功能：

1ALTER TABLE <name> ENABLE ROW LEVEL SECURITY

② 新建表时默认启用行级安全策略

③ 用户认证->策略->给指定表启用RLS

对象存储bucket#

对象存储bucket的RLS默认就是开启的，无需手动开启。新建bucket时，如果选择公开bucket，则任何人可以访问bucket中的对象文件；否则无权访问。

如何给数据表设置访问权限

创建一个应用后，MemFire Cloud后台会默认创建一个auth.users系统表，主要用来记录用户的注册信息，其中有三个字段：id(用户唯一标识UID)、email(用户注册邮箱)、role(用户角色信息)。

应用开发者在创建数据表时，可使用一个字段来标记是哪个用户的数据，通常采用id(用户唯一标识UID)、email(用户注册邮箱)来标记。

常用函数介绍

MemFire Cloud封装了三个函数，用于获取向数据库发出请求的不同唯一标识，其中包括：

① auth.role() :用于获取向数据库发出请求的用户的当前角色。它可以被用于策略中，根据用户的角色限制或允许访问某些表或行。该函数返回一个代表用户角色的字符串，它可以是下列之一：已认证的（authenticated），匿名的（anon），或你定义的自定义角色。

② auth.email() :用于获取向数据库发出请求的用户的电子邮件。这个函数可以在策略中使用，根据用户的电子邮件限制或允许访问某些表或行。

③ auth.uid() : 用于获取向数据库提出请求的用户的唯一标识符（UID）。这个函数可以在策略中使用，根据用户的UID限制或允许访问某些表或行。

策略实例

为所有用户启用访问权限
- 为所有用户提供对数据表的访问权限
- 当**USING**设置为**true**时，表示访问数据表时不需要做任何校验

1Create POLICY "策略名称" 
2ON public."表名"
3AS PERMISSIVE
4FOR SELECT
5USING( true ) ;

仅允许身份验证用户启用访问权限

为所有经过身份验证的用户提供对数据表的访问权限

1Create POLICY "策略名称"
2ON public."表名"
3AS PERMISSIVE
4FOR SELECT
5USING( auth.role() = 'authenticated')

根据电子邮件为用户启用权限

假定您的表有一个“email“列，并允许用户操作”email“列与其电子邮件匹配的行

1Create POLICY "策略名称"
2ON public."表名"
3AS PERMISSIVE
4FOR SELECT
5USING( auth.email() = "email" ) ;

根据用户ID为用户启用访问权限

假定您的表有一个“user_id“列，并允许用户操作“user_id“列与其ID 匹配的行

1Create POLICY "策略名称"
2ON public."表名"
3AS PERMISSIVE
4FOR SELECT
5USING( auth.uid() = "id" ) ;

如何给bucket存储桶设置访问权限#

判断条件

① 指定路径的文件

1name='admin/assets/example.png'

② 获取文件的指定层级文件夹名称

1(storage.foldername(name))[1]='admin'

③ 发起请求用户的角色,这里的角色可以是已认证的（authenticated），匿名的（anon），或你定义的自定义角色。

1auth.role()='authenticated'

④ 发起请求的用户uid等于文件夹名称

1auth.uid()::text=(storage.foldername(name))[1]

⑤获取文件的扩展名

1storage."extension"(name)='jpg'

⑥ 发起请求的用户uid等于指定值

1auth.uid()::text='abcd'

策略实例

允许匿名用户访问public文件夹的JPG图片

1CREATE POLICY "策略名称"
2ON storage.objects 
3--- 指定操作类型
4FOR SELECT 
5---使用USING 或 WITH CHECK 来检查
6{USING | WITH CHECK} (
7  bucket_id = '存储桶名称'
8  -- 只允许访问JPG文件
9  AND storage."extension"(name) = 'jpg'
10  -- 在public文件夹下
11  AND LOWER((storage.foldername(name))[1]) = 'public'
12  -- 对匿名用户
13  AND auth.role() = 'anon'
14);

允许用户访问以个人uid命名的文件夹

1CREATE POLICY "策略名称"
2ON storage.objects 
3--- 指定操作类型
4FOR SELECT  
5---使用USING 或 WITH CHECK 来检查
6{USING | WITH CHECK} (
7    bucket_id = '存储桶名称'
8    ---发起请求的用户uid等于文件夹名称
9    AND auth.uid()::text = (storage.foldername(name))[1]
10);

仅允许经过身份验证的用户访问文件夹

1CREATE POLICY "策略名称"
2ON storage.objects 
3--- 指定操作类型
4FOR SELECT  
5---使用USING 或 WITH CHECK 来检查
6{USING | WITH CHECK} (
7    AND (storage.foldername(name))[1] = 'private'
8    -- 仅允许身份验证访问
9    AND auth.role() = 'authenticated'
10);

仅允许特定用户访问名为admin/assets文件夹

1CREATE POLICY "策略名称"
2ON storage.objects 
3--- 指定操作类型
4OR SELECT 
5---使用USING 或 WITH CHECK 来检查
6{USING | WITH CHECK} (
7    bucket_id = '存储桶名称'
8    ---获取文件的指定层级文件夹名称
9    AND (storage.foldername(name))[1] = 'admin' AND (storage.foldername(name))[2] = 'assets'
10    ---指定特定用户才能访问
11    AND auth.uid()::text = 'd7bed83c-44a0-4a4f-925f-efc384ea1e50'
12);

仅允许特定用户访问一个文件

1CREATE POLICY "策略名称"
2ON storage.objects 
3--- 指定操作类型
4FOR SELECT  
5---使用USING 或 WITH CHECK 来检查
6{USING | WITH CHECK} (
7    bucket_id = '存储桶名称'
8    ---指定路径的文件
9    AND name = 'admin/assets/Costa Rican Frog.jpg'
10    ---指定特定用户才能访问
11    AND auth.uid()::text = 'd7bed83c-44a0-4a4f-925f-efc384ea1e50'
12);

语法说明

1CREATE POLICY name ON table_name
2    [ AS { PERMISSIVE | RESTRICTIVE } ]
3    [ FOR { ALL | SELECT | INSERT | UPDATE | DELETE } ]
4    [ TO { role_name | PUBLIC | CURRENT_ROLE | CURRENT_USER | SESSION_USER } [, ...] ]
5    [ USING ( using_expression ) ]
6    [ WITH CHECK ( check_expression ) ]

name：同一个表上的policy不能重复，不同表的policy可以重复。
table_name：为哪个表创建policy。
AS，policy的生效模式，PERMISSIVE ，宽松模式，多个policy采用 or 进行组合判断，只要有一个policy过了就能访问数据；RESTRICTIVE，排他模式，必须满足的条件，当与其他policy组合使用时，使用 and 进行组合，只改条件不满足则其他条件再宽松也无用。默认PERMISSIVE 。
For，对哪个操作生效，默认ALL，还可选择SELECT | INSERT | UPDATE | DELETE。
TO，对哪个role生效，默认public。
USING：对表中的已有数据进行检查的语句。
WITH CHECK：对新数据进行检查的语句。