我们的大部分代码——无论是在外部程序中还是在存储过程中——在引用各种 DB 对象时都使用明确的用户名:
SELECT * FROM prod.object
或者
prod.StoredProcedure(.....)
这会导致明显的问题,当数据库的副本被加载到具有不同名称的模式中时——同一个对象现在变成qa.object了......
我建议,我们完全放弃这种显式引用,而只引用objectand StoredProcedure。
但是,当另一个帐户(例如prod_ro)登录并尝试执行prod的存储过程或浏览prod的表时,这会导致问题。
人们如何处理这种情况?
我需要 ACL(访问控制列表)系统的数据库设计方面的帮助。
商业规则
让我解释一下要求:
目前的考虑
有些表可以容纳数十万个这样的业务对象,因此我需要一个可以快速为它们选择“可见”行的设计。
我的想法是在ACL_ID带有业务对象的表中添加一个。假设我有一张桌子Orders,我需要控制可访问性:
CREATE TABLE Orders
(
ID int not null,
... lots of columns with relevant information
ACL_ID int not null
);
我将ACL_ID限制为外键的列添加到AccessControlList表中:
CREATE TABLE AccessControlList
(
ACL_ID int not null,
... any needed information
);
另一个表可以保存列表中包含的用户组:
CREATE TABLE AccessControlListItem
(
ACL_ID int not null,
USER_GROUP_ID not null
);
定义了哪些用户组可以访问这些AccessControlList元素。如果我有 100 个不同的组,我可以定义来自 3 个组的用户可以访问该行。
AccessControlLists由于可能存在数百万个业务对象,我认为为不同的组合创建行可能会更好。例如,如果用户组“A”、“B”和“C”包含在 ID = 125 的列表中,我可以将此 ACL 重用于具有相同组合的任何业务对象。如果有人将组“D”添加到 ACL,我需要创建一个具有新 ID 的新列表。然后 ACL 将被“延迟创建”:每次我需要一个新的组合时,我都会创建一个新列表。当然,我需要一个“垃圾收集器”来消除不再使用的列表,或者我留下它们,因为它们可以在以后创建。
好的,现在我将AccessControlList表中的元素数量从数百万个对象减少到数千个。无论如何,我相信设计对于查询来说会非常昂贵。除了 ACL 之外,没有任何其他过滤器的订单查询可能是这样的:
select <columns> from Orders where ACL_ID IN (
select ACL_ID from AccessControlList where USER_GROUP_ID IN (
<select the groups for the current user>)
)
用户可能是 100 个不同 ACL 中的成员。
问题
有类似设计的经验吗?关于其他实现方式的任何评论?如果有任何想法或意见,我将不胜感激。非常感谢。
如何确定 MySQL 表中的特定列是否曾经被选择或显式更新或插入或在 WHERE 子句中引用?如果我也能确定正在使用该列的数据库用户,那就太好了。
这是在 MySQL 5.0 上,但我可以将其移至 5.6 或 5.7。
背景: 我正在维护一个带有 AUTOINCREMENT 字段 ( "id") 的遗留应用程序,该字段将在该应用程序停用之前可预见地达到其最大 INT 值。
我怀疑,但不知道,实际上根本没有人在 SQL 中引用这个字段。理想情况下,我会“监视”该列一两个星期,如果它没有出现在任何查询中,我会将它变成 BIGINT 或放弃它以支持自然键。如果该列确实出现在某人的查询中,我将需要跟踪那个人并协调更改。
我正在设计一个可能有大约 1000 个用户的 Web 应用程序。网站面向互联网,但仅限合作伙伴使用(即普通大众不能直接“注册一个账号”)。帐户维护将由我们自己的 IT 支持处理。
我正在考虑让每个用户关联自己的 SQL 登录名。这样我就不需要存储他们的加盐/散列密码 - SQL 服务器将处理身份验证。这也允许我们使用基于 SQL Server 的审计和日志记录工具。
这样做有什么坏处吗?
来自 MySQL 我想知道 DB2 是否有类似于 MySQL 的 user@host 访问权限概念的东西。
我正在创建一个 Web 应用程序,它依赖于在没有 API 的情况下查询遗留数据库。
是MySql。
当然,缺少 API 最终让我遇到了麻烦。测试应用程序时的反馈循环触发了一堆(可能是几百个)对数据库的请求,现在我无法再连接到它,它只是超时。
我惊恐地试图通过浏览器和 PHPmyAdmin 登录它,令我欣慰的是没有任何问题,但在 Status->Processes 中我可以看到这个过程:
Kill 25289014 myusername localhost None Query 0 ---
我估计当我开始从我的应用程序向它发送垃圾邮件时,数据库杀死了我的用户的所有传入连接。
你们中有人知道“封锁”是否会在一定时间后解除吗?现在是大约 12 小时前。
或者,如果我必须联系管理员解除阻止,或终止 kill 进程?我的用户似乎没有终止进程的特权,因为没有按钮可以这样做。
提前致谢。
当我使用 db2move 从 DB2 导入数据时,转储文件附带导出为“USERX.MYTABLE”的数据。
导入过程似乎很好,我看到很多:
USERX.MYTABLE n 行已导入...
但是 USERX 不在我的数据库中,当我尝试使用 MYUSER 选择数据时,我总是得到空结果。
此外,如果我运行 db2move 并从我的本地数据库导出数据,它会再次导出 USERX 的所有行。
如何修复对 MYUSER 的访问权限?
假设我有一个包含许多数据库的数据存储。出于这个问题的目的,让我们假设MySQL,但我怀疑它可能适用于许多技术。存储的记录并不是特别特别。它们不是信用卡号、金融交易或现有美国法律或特定合规级别所涵盖的任何类型的数据。然而,它们是生产。
有时,用户(无论是开发人员、数据质量专家还是支持人员)需要访问数据存储。传统上,凭据由 RO 用户处理,但这种方法本质上是不安全的,因为密码需要经常轮换,无论何时有人离开公司或凭据只是老化。大多数时候,用户需要临时访问——最多一个下午、一天或一周。临时凭证是一个完美的选择,但手动管理是一场噩梦。
我怎样才能有效地授予和撤销对我的数据存储的临时访问权限,最好是通过编程方式?我可以设想任意数量的脚本,例如,利用高特权用户来添加和删除临时用户,但这一切感觉就像重新发明一个应该已经滚动的轮子。谷歌搜索结果在这里出奇地没有帮助,让我觉得这个问题要么太容易讨论,要么太难解决。
在创建特定于环境的登录名(开发、质量检查、暂存、生产等)时,我面临着选择是将表示作为登录名的前缀还是后缀。
prod_MyAppLogin
MyAppLogin_prod
有什么理由让我更喜欢一种策略而不是另一种策略?
(显然,我应该与我做出的任何选择保持一致)
我正在尝试创建一个 ACL 条目以允许在owner组属性中指定的用户管理该组,还允许将组(包括嵌套组)指定为所有者。
我有这条规则,它允许管理员访问特定组的嵌套成员:
{0}to * by ssf=128 set="user & [cn=Administrators,ou=LDAP,dc=Applications,dc=example,dc=com]/member*" manage by * break
我有这条规则,适用于向直接指定为所有者的用户授予管理权限:
{2}to dn.children="dc=Groups,dc=example,dc=com" by ssf=128 set="user & this/owner" manage
但到目前为止,我还没有弄清楚如何将这两个概念结合起来以允许将组指定为所有者。有人得到这样的工作吗?