Início / coding / Perguntas / 79429466
Accepted
alexanoid
Asked: 2025-02-11 17:29:45 +0800 CST

Como revogar privilégios INSERT e UPDATE em uma coluna específica?

  • 772

Preciso revogar os privilégios INSERT e UPDATE na coluna uid na tabela test.persons.

Aqui está o que eu fiz até agora:

CREATE TABLE test.persons (
    uid UUID DEFAULT gen_random_uuid() PRIMARY KEY,
    name VARCHAR(255),
    description TEXT
);

REVOKE INSERT (uid) ON test.persons FROM hasura;
GRANT INSERT (name, description) ON test.persons TO hasura;
REVOKE UPDATE (uid) ON test.persons FROM hasura;
GRANT UPDATE (name, description) ON test.persons TO hasura;


INSERT INTO test.persons (uid, name, description) 
VALUES ('e7443661-f6c3-4448-8df7-c65e3f8243ca', 'John Doe', 'Some description');
//correct: ERROR: permission denied for table persons

INSERT INTO test.persons (uid) 
VALUES (gen_random_uuid());
//correct: ERROR: permission denied for table persons

INSERT INTO test.persons (name, description) 
VALUES ('John Doe', 'Some description');
//correct: Successfully inserted

INSERT INTO test.persons (name) 
VALUES ('John Doe1');
//correct: Successfully inserted

Até agora tudo bem.

Mas quando tento executar a seguinte ATUALIZAÇÃO:

UPDATE test.persons SET uid = gen_random_uuid() WHERE name = 'John Doe';

Ele foi atualizado com sucesso, embora não devesse, pois revoguei os privilégios UPDATE na coluna uid.

O que estou fazendo errado e como devo revogar corretamente os privilégios UPDATE na coluna uid?

postgresql

2 respostas

  1. Você está no caminho certo, mas o PostgreSQL não suporta REVOKE em nível de coluna para INSERT/UPDATE . Revogar privilégios de coluna só funciona para SELECT .

    Por que o UPDATE uidainda está funcionando?

    Mesmo que você tenha revogado UPDATE (uid), o PostgreSQL verifica UPDATE no nível da tabela , então se hasurapuder atualizar a tabela, ele poderá atualizar qualquer coluna.

    Solução: Use uma política de segurança em nível de linha (RLS)

    Para impor essa restrição, você pode usar RLS :

    ALTER TABLE test.persons ENABLE ROW LEVEL SECURITY;

CREATE POLICY no_update_uid 
ON test.persons 
FOR UPDATE 
USING (true) 
WITH CHECK (uid = OLD.uid);

    Garante que uid não pode ser modificado durante uma atualização.

    MANEIRA alternativa: Use um gatilho BEFORE UPDATE

    CREATE FUNCTION prevent_uid_update() RETURNS TRIGGER AS $$
BEGIN
    IF NEW.uid IS DISTINCT FROM OLD.uid THEN
        RAISE EXCEPTION 'Updating uid is not allowed';
    END IF;
    RETURN NEW;
END;
$$ LANGUAGE plpgsql;

CREATE TRIGGER check_uid_update
BEFORE UPDATE ON test.persons
FOR EACH ROW EXECUTE FUNCTION prevent_uid_update();

    se alguém tentar atualizar uid, ocorrerá um erro .

    Solução alternativa adicionada para RLS específico

    Política RLS para UPDATE(Prevenir uidModificação)

    Para impedir que os usuários atualizem a uidcoluna, você pode usar uma política RLS como esta:

    CREATE POLICY prevent_uid_update
ON test.persons
FOR UPDATE
USING (true)  -- Allow updates generally
WITH CHECK (uid = old.uid);  -- Ensure `uid` remains unchanged
    • USING (true): Permite que o usuário tente uma atualização.
    • WITH CHECK (uid = old.uid): Garante uidque permaneça o mesmo, evitando modificações.

    Política RLS para INSERT(Prevenir uidInserção Manual)

    Para evitar que os usuários insiram manualmente um uide apliquem o padrão gen_random_uuid(), use:

    CREATE POLICY prevent_manual_uid_insert
ON test.persons
FOR INSERT
WITH CHECK (uid IS NULL);
    • WITH CHECK (uid IS NULL): Os usuários só podem inserir se não especificarem um uid.
    • Como uidtem um DEFAULT gen_random_uuid(), o PostgreSQL irá gerá-lo automaticamente.

    Habilitar RLS

    ALTER TABLE test.persons ENABLE ROW LEVEL SECURITY;

    Resolução:

    1. Os usuários não podem atualizar uid , mas podem atualizar outras colunas.
    2. Os usuários não podem inserir um personalizado uid, forçando o PostgreSQL a gerar um.
    • 1
  2. Best Answer

    REVOKErevogará apenas privilégios que foram (implícita ou explicitamente) concedidos. Então a seguinte declaração não tem efeito:

    REVOKE UPDATE (uid) ON test.persons FROM hasura;

    Como hasurajá tem o UPDATEprivilégio na tabela, esse usuário tem o mesmo privilégio em todas as colunas.

    Então você primeiro tem que revogar o privilégio na tabela :

    REVOKE UPDATE ON test.persons FROM hasura;

    Então você concede o privilégio somente nas colunas permitidas :

    GRANT UPDATE (name, description) ON test.persons TO hasura;

    Agora deve funcionar como você deseja. INSERTfunciona da mesma forma.

    • 1

relate perguntas