数据库高安全—角色权限：权限管理权限检查

目录

3.3 权限管理

3.4 权限检查

---

书接上文数据库高安全—角色权限：角色创建角色管理，从角色创建和角色管理两方面对高斯数据库的角色权限进行了介绍，本篇将从权限管理和权限检查方面继续解读高斯数据库的角色权限。

3.3 权限管理

（1） 访问控制列表

访问控制列表(Access Control List，ACL)是实现数据库对象权限管理的基础，每个对象都具有ACL，存储该对象的所有授权信息。当用户访问对象时，只有用户在对象的ACL中并且具有所需的权限才能够访问该对象。

每个ACL是由1个或多个AclItem构成的链表，每1个AclItem由授权者、被授权者和权限位3部分构成，记录着可在对象上进行操作的用户及其权限。

数据结构AclItem：

typedef struct AclItem {    Oid ai_grantee;     // 被授权者的OID     Oid ai_grantor;     // 授权者的OID     AclMode ai_privs;  // 权限位：32位的比特位 } AclItem;

其中ai_privs字段是AclMode类型。AclMode是一个32位的比特位，其高16位为权限选项位，当该比特位取值为1时，表示AclItem中的ai_grantee对应的用户具有此对象的相应操作的授权权限，否则表示用户没有授权权限；低16位为操作权限位，当该比特位取值为1时，表示AclItem中的ai_grantee对应的用户具有此对象的相应操作权限，否则表示用户没有相应的权限。在AclMode的结构位图1中，Grant Option记录各权限的授权权限的授予情况。低16位记录各权限的授予情况，当授权语句使用ALL时，则表示对象的所有权限。

图1 openGauss AclMode结构图

在openGauss的具体实现中，我们将对对象执行DML类操作和DDL类操作的权限分别记在两个AclMode结构中，并以第15位的值来区分二者，最终实现对于每一个数据库对象，相同的授权者和被授权者对应两个不同的AclMode，分别表示记录DML类操作权限和DDL类操作权限，实现方式如图2和图3所示。

图2 openGauss记录DML类操作权限的AclMode结构

图3 openGauss记录DDL类操作权限的AclMode结构

每个权限参数代表的权限如表1所示。

表1 权限参数

参数	对象权限	参数	对象权限
a	INSERT	T	TEMPORARY
r	SELECT	c	CONNECT
w	UPDATE	p	COMPUTE
d	DELETE	R	READ
D	TRUNCATE	W	WRITE
x	REFERENCES	A	ALTER
t	TRIGGER	P	DROP
X	EXECUTE	m	COMMENT
U	USAGE	i	INDEX
C	CREATE	v	VACUUM

（2）对象权限管理

数据库对象权限管理主要通过使用SQL命令GRANT/REVOKE授予或回收一个或多个角色在对象上的权限。GRANT/REVOKE命令都由函数ExecuteGrantStmt实现，该函数只有一个GrantStmt类型的参数，基本流程如图4。

图4 openGauss对象权限管理代码接口

数据结构GrantStmt定义如下：

typedef struct GrantStmt {    NodeTag type;    bool is_grant;            // true = 授权, false = 回收    GrantTargetType targtype;  // 操作目标的类型    GrantObjectType objtype;  // 被操作对象的类型：表，数据库，模式函数等    List* objects;            // 被操作对象的集合    List* privileges;          // 要操作权限列表    List* grantees;           // 被授权者的集合    bool grant_option;       // true = with grant option/grant option for    DropBehavior behavior;   // 回收权限的行为：restrict，cascade} GrantStmt;

函数ExecuteGrantStmt首先将GrantStmt结构转化为InternalGrant结构，将权限列表转化为内部的AclMode表示形式。当privileges 取值为NIL时，表示授予或回收所有的权限，此时置InternalGrant的all_privs字段为true，privileges字段为ACL_NO_RIGHTS。

数据结构InternalGrant：

typedef struct InternalGrant {    bool is_grant;            // true=授权, false=回收    GrantObjectType objtype;  // 被操作对象的类型：表，数据库，模式函数等    List* objects;            // 被操作对象的集合    bool all_privs;           // 是否授予或回收所有的权限AclMode privileges;      // AclMode形式表示的DML类操作对应的权限AclMode ddl_privileges;  // AclMode形式表示的DDL类操作对应的权限List* col_privs;          // 对列执行的DML类操作对应的权限List* col_ddl_privs;      // 对列执行的DDL类操作对应的权限    List* grantees;          // 被授权者的集合    bool grant_option;      // true=with grant option/grant option for    DropBehavior behavior; // 回收权限的行为：restrict，cascade} InternalGrant;

函数ExecuteGrantStmt在完成结构转换之后，调用ExecGrantStmt_oids，根据对象类型分别调用相应对象的权限管理函数。接下来以表对象的权限管理过程为例，介绍权限管理的算法，函数ExecGrant_Relation的处理流程如图5所示。

图5 openGauss表对象权限管理流程图

函数ExecGrant_Relation用来处理表对象权限的授予或回收操作，入参为InternalGrant类型的变量，存储着授权或回收操作的操作对象信息、被授权者信息和权限信息。

• 首先从系统表pg_class中获取旧ACL，如果不存在旧的ACL，则新建一个ACL，并调用函数acldefault将默认的权限信息赋给该ACL。根据对象的不同，初始的缺省权限含有部分可赋予PUBLIC的权限。如果存在旧的ACL，则将旧的ACL存储为一个副本。

• 然后调用select_best_grantor来获取授权者对操作对象所拥有的授权权限avail_goptions；将参数avail_goptions传入函数restrict_and_check_grant，结合SQL命令中给出的操作权限，计算出实际需要授予或回收的权限。

• 再调用merge_acl_with_grant生成新的ACL，如果是授予权限，则将要授予的权限添加到旧ACL中；如果是回收权限，则将要被回收的权限从旧ACL中删除。

• 最后将新的ACL更新到系统表pg_class对应元组的ACL字段，完成授权或回收过程。

具体的函数实现如下：

static void ExecGrant_Relation(InternalGrant* istmt){    . . .// 循环处理每一个表对象。    foreach (cell, istmt->objects) {        . . .// 判断所要操作的表对象是否存在，若不存在则提示报错。        tuple = SearchSysCache1(RELOID, ObjectIdGetDatum(relOid));        if (!HeapTupleIsValid(tuple))            ereport(                ERROR, (errcode(ERRCODE_CACHE_LOOKUP_FAILED), errmsg("cache lookup failed for relation %u", relOid)));        pg_class_tuple = (Form_pg_class)GETSTRUCT(tuple);. . .        // 系统表pg_class中获取旧ACL，若不存在旧的ACL，则新建一个ACL，若存在旧的ACL，则将旧的ACL存储为一个副本。        ownerId = pg_class_tuple->relowner;        aclDatum = SysCacheGetAttr(RELOID, tuple, Anum_pg_class_relacl, &isNull);        if (isNull) {            switch (pg_class_tuple->relkind) {                case RELKIND_SEQUENCE:                    old_acl = acldefault(ACL_OBJECT_SEQUENCE, ownerId);                    break;                default:                    old_acl = acldefault(ACL_OBJECT_RELATION, ownerId);                    break;            }            noldmembers = 0;            oldmembers = NULL;        } else {            old_acl = DatumGetAclPCopy(aclDatum);            noldmembers = aclmembers(old_acl, &oldmembers);        }        old_rel_acl = aclcopy(old_acl);
        // 处理表级别的权限。        if (this_privileges != ACL_NO_RIGHTS) {            AclMode avail_goptions;            Acl* new_acl = NULL;            Oid grantorId;            HeapTuple newtuple = NULL;            Datum values[Natts_pg_class];            bool nulls[Natts_pg_class] = {false};            bool replaces[Natts_pg_class] = {false};            int nnewmembers;            Oid* newmembers = NULL;            AclObjectKind aclkind;
            // 获取授权者grantorId和授权者对该操作对象所拥有的授权权限avail_goptions。            select_best_grantor(GetUserId(), this_privileges, old_acl, ownerId, &grantorId, &avail_goptions);
            switch (pg_class_tuple->relkind) {                case RELKIND_SEQUENCE:                    aclkind = ACL_KIND_SEQUENCE;                    break;                default:                    aclkind = ACL_KIND_CLASS;                    break;            }
            // 结合参数avail_goptions和SQL命令中给出的操作权限，计算出实际需要授予或回收的权限。            this_privileges = restrict_and_check_grant(istmt->is_grant,                avail_goptions,                istmt->all_privs,                this_privileges,                relOid,                grantorId,                aclkind,                NameStr(pg_class_tuple->relname),                0,                NULL);
            // 生成新的ACL，并更新到系统表pg_class对应元组的ACL字段。            new_acl = merge_acl_with_grant(old_acl,                istmt->is_grant,                istmt->grant_option,                istmt->behavior,                istmt->grantees,                this_privileges,                grantorId,                ownerId);. . .            replaces[Anum_pg_class_relacl - 1] = true;            values[Anum_pg_class_relacl - 1] = PointerGetDatum(new_acl);
            newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation), values, nulls, replaces);
            simple_heap_update(relation, &newtuple->t_self, newtuple);. . .        }
        // 若存在列级授权或回收，则调用ExecGrant_Attribute 函数处理。. . .        if (have_col_privileges) {            AttrNumber i;
            for (i = 0; i < num_col_privileges; i++) {                if (col_privileges[i] == ACL_NO_RIGHTS)                    continue;                ExecGrant_Attribute(istmt,                    relOid,                    NameStr(pg_class_tuple->relname),                    i + FirstLowInvalidHeapAttributeNumber,                    ownerId,                    col_privileges[i],                    attRelation,                    old_rel_acl);            }        }    . . .    }
    heap_close(attRelation, RowExclusiveLock);    heap_close(relation, RowExclusiveLock);}

3.4 权限检查

用户在对数据库对象进行访问操作时，数据库会检查用户是否拥有该对象的操作权限。通常数据库对象的所有者和初始用户（superuser）拥有该对象的全部操作权限，其他普通用户需要被授予权限才可以执行相应操作。数据库通过查询数据库对象的访问控制列表(ACL)检查用户对数据库对象的访问权限，数据库对象的ACL保存在对应的系统表中，当被授予或回收对象权限时，系统表中保存的ACL权限位会被更新。常用的数据库对象权限检查函数、ACL检查函数、ACL所在系统表以及对象所有者检查函数对应关系如表2所示。

表2 数据库对象函数对应关系表

对象	权限检查	ACL检查	所有者检查	系统表
table	pg_class_aclcheck	pg_class_aclmask	pg_class_ownercheck	pg_class
column	pg_attribute_aclcheck	pg_attribute_aclmask	NA	pg_attribute
database	pg_database_aclcheck	pg_database_aclmask	pg_database_ownercheck	pg_database
function	pg_proc_aclcheck	pg_proc_aclmask	pg_proc_ownercheck	pg_proc
language	pg_language_aclcheck	pg_language_aclmask	pg_language_ownercheck	pg_language
largeobject	pg_largeobject_aclcheck_snapshot	pg_largeobject_aclmask_snapshot	pg_largeobject_ownercheck	pg_largeobject_metadata
namespace	pg_namespace_aclcheck	pg_namespace_aclmask	pg_namespace_ownercheck	pg_namespace
tablespace	pg_tablespace_aclcheck	pg_tablespace_aclmask	pg_tablespace_ownercheck	pg_tablespace
foreign data wrapper	pg_foreign_data_wrapper_aclcheck	pg_foreign_data_wrapper_aclmask	pg_foreign_data_wrapper_ownercheck	pg_foreign_data_wrapper
foreign server	pg_foreign_server_aclcheck	pg_foreign_server_aclmask	pg_foreign_server_ownercheck	pg_foreign_server
type	pg_type_aclcheck	pg_type_aclmask	pg_type_ownercheck	pg_type

下面以表的权限检查为例进行权限检查过程说明。表权限检查函数pg_class_aclcheck定义如下：

AclResult pg_class_aclcheck(Oid table_oid, Oid roleid, AclMode mode, bool check_nodegroup){    if (pg_class_aclmask(table_oid, roleid, mode, ACLMASK_ANY, check_nodegroup) != 0)        return ACLCHECK_OK;    else        return ACLCHECK_NO_PRIV;}

pg_class_aclcheck函数有4个入参，其中table_oid用于表示待检查的表，roleid用于表示待检查的用户或角色，mode表示待检查的权限，此权限可以是一种权限也可以是多种权限的组合。第4个参数check_nodegroup用于表示是否检查nodegroup逻辑集群权限，如果调用时不给此参数赋值则默认为true。函数返回值为枚举类型AclResult，如果检查结果有权限返回ACLCHECK_OK，无权限则返回ACLCHECK_NO_PRIV。

pg_class_aclcheck函数通过调用pg_class_aclmask函数实现对象权限检查。pg_class_aclmask函数有5个参数，其中第4个参数how为AclMaskHow枚举类型，包括ACLMASK_ALL和ACLMASK_ANY两种取值，ACLMASK_ALL表示需要满足待检查权限mode中的所有权限，ACLMASK_ANY表示只需满足待检查权限mode中的一种权限即可。pg_class_aclmask函数的其余4个参数table_oid、roleid、mode和check_nodegroup直接由pg_class_aclcheck函数传入。pg_class_aclmask函数从“pg_class”系统表中获取ACL权限信息并调用aclmask函数完成权限位校验，通过AclMode数据类型返回权限检查结果。

以上内容从权限管理和权限检查两方面对角色权限进行了介绍，下篇将从传统审计和统一审计两方面对高斯数据库的审计追踪技术进行解读，敬请期待~