Ajin Cherian:PostgreSQL 15中的逻辑复制权限
💡
原文英文,约1100词,阅读约需4分钟。
📝
内容提要
PostgreSQL 15增加了逻辑复制的保障措施,确保订阅所有者具有完成所需操作的必要权限。现在,订阅的APPLY进程将使用订阅所有者的权限而非超级用户权限运行。这个变化可以防止安全漏洞并限制了带有行级安全策略的表的复制。订阅所有者不再可以规避RLS策略,但超级用户、具有'bypassrls'权限的角色和目标表所有者仍然可以绕过RLS策略进行复制。计划允许非超级用户角色创建订阅并允许在该角色的权限范围内进行逻辑复制。
🎯
关键要点
- PostgreSQL 15增加了逻辑复制的保障措施,确保订阅所有者具有必要权限。
- 订阅的APPLY进程现在使用订阅所有者的权限,而非超级用户权限。
- 此变化防止了安全漏洞,并限制了带有行级安全策略的表的复制。
- 订阅所有者无法规避RLS策略,只有超级用户和具有'bypassrls'权限的角色可以绕过这些策略。
- 逻辑复制的每个操作都需要检查订阅所有者的权限,若权限不足则操作失败。
- 如果在应用事务时订阅所有权被更改,当前事务将继续使用旧所有者的权限。
- PostgreSQL 15不再允许非超级用户角色创建订阅,但计划未来允许。
- 未来计划允许非超级用户角色创建订阅,并在其权限范围内进行逻辑复制。
🏷️
标签
➡️
