Skip site navigation (1) Skip section navigation (2)

Re: [pgsql-ru-general] Роли: управление доступом к другим ролям. Роли как объекты системы безопасности.]

From: "Vladimir Kotulskiy" <vladimirkotulskiy(at)gmail(dot)com>
To: pgsql-ru-general(at)postgresql(dot)org
Subject: Re: [pgsql-ru-general] Роли: управление доступом к другим ролям. Роли как объекты системы безопасности.]
Date: 2008-07-03 06:14:29
Message-ID: e749437a0807022314y2ba3f4b8xfb1ec36fef6e16e3@mail.gmail.com (view raw or flat)
Thread:
Lists: pgsql-ru-general
Помоему, это очень не грамотный подход, делить роли для приложения и
для базы данных.

2 июля 2008 г. 14:26 пользователь Alexey Klyukin
<alexk(at)commandprompt(dot)com> написал:
> Привет,
>
> sftf wrote:
>>
>> Для примера, что собственно я хотел реализовать.
>> В разарабатываемом приложении, я хотел части пользователей (менеджерам отделов) дать возможность
>> создавать пользователей и назначать им роли из ограниченного списка ролей.
>> Для этого я предполагал создвать роли менеджеров так: CREATE ROLE manager NOSUPERUSER CREATEROLE...
>> Однако, согласно существующей сейчас в Postgres модели безопасности, роль с привелегикй 'CREATEROLE'
>> может изменять или удалять ЛЮБЫЕ другие роли, кроме SUPERUSER.
>> Таким образом, создав в системе двух менеджеров невозможно разграничить их возможности по управлению
>> ролями "своих" и "чужих" сотрудников, и вообще любых других ролей кроме суперюзеров.
>> Они даже смогут поменять пароли друг у друга.
>
> В данном примере роли пользователей (менеджеры отделов) по-моему относятся
> больше с пользовательскому приложению, а не к СУБД, соотвественно связь
> между менеджерами и другими пользователями можно сделать на уровне приложения.
>
>>
>> Конечно можно эту задачу решить на уровне приложения: продублировать список ролей в пользовательской
>> таблице с дополнительной информацией (владельцы ролей, права ролей на другие роли) и создавать/изменять
>> роли Postgres через хранимые процедуры+Dynamic SQL (не знаю пока еще, поддерживется дли динамический SQL в Postgres).
>
> Динамический SQL поддерживается. Т.е. из встраиваемых функций можно
> выполнять SQL запросы, сформированные кодом этих функций.
>
> P.S. это forward, забыл сделать cc на рассылку.
>
> --
> Alexey Klyukin                         http://www.commandprompt.com/
> The PostgreSQL Company - Command Prompt, Inc.
>
>
> --
> Sent via pgsql-ru-general mailing list (pgsql-ru-general(at)postgresql(dot)org)
> To make changes to your subscription:
> http://www.postgresql.org/mailpref/pgsql-ru-general
>

In response to

pgsql-ru-general by date

Next:From: sftfDate: 2008-07-03 09:12:34
Subject: Re[2]: [pgsql-ru-general] Роли: управлениеZ)ЭЈ 5ЫќA доступом к другим ролям. Роли как объектыZ)ЭЈ 5ЫќA системы безопасности.
Previous:From: Alexey KlyukinDate: 2008-07-02 10:26:56
Subject: Re: РолBFBFBBBBBBBԃBBFF FBBBB_ M = =  

Privacy Policy | About PostgreSQL
Copyright © 1996-2014 The PostgreSQL Global Development Group