openGauss数据库源码解析系列文章——安全管理源码解析:对象权限管理
摘要:openGauss采用基于访问控制列表(ACL)的权限管理机制,每个对象通过ACL存储授权信息。ACL由授权者、被授权者和权限位构成,其中权限位分为高16位授权权限和低16位操作权限。系统通过GRANT/REVOKE命令实现权限管理,核心流程包括获取旧ACL、计算实际权限、生成新ACL并更新系统表。权限检查时通过查询对象ACL进行验证,表权限检查函数pg_class_aclcheck通过调用
对象权限管理
权限管理是安全管理重要的一环,openGauss权限管理基于访问控制列表(access control list,ACL)实现。
权限管理
1. 访问控制列表
访问控制列表是实现数据库对象权限管理的基础,每个对象都具有ACL,存储该对象的所有授权信息。当用户访问对象时,只有用户在对象的ACL中并且具有所需的权限才能够访问该对象。
每个ACL是由1个或多个AclItem构成的链表,每1个AclItem由授权者、被授权者和权限位3部分构成,记录着可在对象上进行操作的用户及其权限。
数据结构AclItem的代码如下:
typedef struct AclItem {
Oid ai_grantee; /* 被授权者的OID */
Oid ai_grantor; /* 授权者的OID */
AclMode ai_privs; /* 权限位:32位的比特位 */
} AclItem;
其中ai_privs字段是AclMode类型。AclMode是一个32位的比特位。其高16位为权限选项位,当该比特位取值为1时,表示AclItem中的ai_grantee对应的用户具有此对象的相应操作的授权权限,否则表示用户没有授权权限;低16位为操作权限位,当该比特位取值为1时,表示AclItem中的ai_grantee对应的用户具有此对象的相应操作权限,否则表示用户没有相应的权限。在AclMode的结构位图1中,Grant Option记录各权限位的权限授予或被转授情况。低16位记录各权限的授予情况,当授权语句使用ALL时,则表示对象的所有权限。
图1 openGauss AclMode结构图
openGauss将执行DML类操作和DDL类操作的权限分别记在两个AclMode结构中,并以第15位的值来区分2者,从而实现对于每一个数据库对象,相同的授权者和被授权者对应两个不同的AclMode,分别表示记录DML类操作权限和DDL类操作权限。实现方式如图2和图3所示。
图2 openGauss记录DML类操作权限的AclMode结构
图3 openGauss记录DDL类操作权限的AclMode结构
每个权限参数代表的权限如表1所示。
表1 权限参数
|
参数 |
对象权限 |
参数 |
对象权限 |
|
a |
INSERT |
T |
TEMPORARY |
|
r |
SELECT |
c |
CONNECT |
|
w |
UPDATE |
p |
COMPUTE |
|
d |
DELETE |
R |
READ |
|
D |
TRUNCATE |
W |
WRITE |
|
x |
REFERENCES |
A |
ALTER |
|
t |
TRIGGER |
P |
DROP |
|
X |
EXECUTE |
m |
COMMENT |
|
U |
USAGE |
i |
INDEX |
|
C |
CREATE |
v |
VACUUM |
2. 对象权限管理
数据库对象权限管理主要通过使用SQL命令“GRANT/REVOKE”授予或回收一个或多个角色在对象上的权限。“GRANT/REVOKE”命令都由函数ExecuteGrantStmt实现,该函数只有一个GrantStmt类型的参数,基本执行流程如图4所示。
图4 函数ExecuteGrantStmt执行流程
数据结构GrantStmt定义代码如下:
typedef struct GrantStmt {
NodeTag type;
bool is_grant; /* true = 授权, false = 回收 */
GrantTargetType targtype; /* 操作目标的类型 */
GrantObjectType objtype; /* 被操作对象的类型:表、数据库、模式、函数等 */
List* objects; /* 被操作对象的集合 */
List* privileges; /* 要操作权限列表 */
List* grantees; /* 被授权者的集合 */
bool grant_option; /* true = 再授予权限 */
DropBehavior behavior; /* 回收权限的行为 */
} GrantStmt;
函数ExecuteGrantStmt首先将GrantStmt结构转换为InternalGrant结构,并将权限列表转换为内部的AclMode表示形式。当privileges 取值为NIL时,表示授予或回收所有的权限,此时置InternalGrant的all_privs字段为true,privileges字段为ACL_NO_RIGHTS。
数据结构InternalGrant的代码如下:
typedef struct InternalGrant {
bool is_grant; /* true=授权, false=回收 */
GrantObjectType objtype; /* 被操作对象的类型:表、数据库、模式、函数等 */
List* objects; /* 被操作对象的集合 */
bool all_privs; /* 是否授予或回收所有的权限 */
AclMode privileges; /* AclMode形式表示的DML类操作对应的权限 */
AclMode ddl_privileges; /* AclMode形式表示的DDL类操作对应的权限 */
List* col_privs; /* 对列执行的DML类操作对应的权限 */
List* col_ddl_privs; /* 对列执行的DDL类操作对应的权限 */
List* grantees; /* 被授权者的集合 */
bool grant_option; /* true=再授予权限 */
DropBehavior behavior; /* 回收权限的行为 */
} InternalGrant;
函数ExecuteGrantStmt在完成结构转换之后,调用函数ExecGrantStmt_oids,根据对象类型分别调用相应对象的权限管理函数。接下来以表对象的权限管理过程为例介绍权限管理的算法。函数ExecGrant_Relation用来处理表对象权限的授予或回收操作,入参为InternalGrant类型的变量,存储着授权或回收操作的操作对象信息、被授权者信息和权限信息。函数ExecGrant_Relation的处理流程如图5所示。
图5 函数ExecGrant_Relation的处理流程
该函数的处理流程为:
(1) 从系统表pg_class中获取旧ACL。如果不存在旧的ACL,则新建一个ACL,并调用函数acldefault将默认的权限信息赋给该ACL。根据对象的不同,初始的缺省权限含有部分可赋予PUBLIC的权限。如果存在旧的ACL,则将旧的ACL存储为一个副本。
(2) 调用select_best_grantor函数来获取授权者对操作对象所拥有的授权权限avail_goptions;将参数avail_goptions传入函数restrict_and_check_grant,结合SQL命令中给出的操作权限,计算出实际需要授予或回收的权限。
(3) 调用merge_acl_with_grant函数生成新的ACL。如果是授予权限,则将要授予的权限添加到旧ACL中;如果是回收权限,则将要被回收的权限从旧ACL中删除。
(4) 将新的ACL更新到系统表pg_class对应元组的ACL字段,完成授权或回收过程。
该函数的相关代码如下:
static void ExecGrant_Relation(InternalGrant* istmt)
{
. . .
/* 循环处理每一个表对象 */
foreach (cell, istmt->objects) {
. . .
/* 判断所要操作的表对象是否存在,若不存在则提示报错 */
tuple = SearchSysCache1(RELOID, ObjectIdGetDatum(relOid));
if (!HeapTupleIsValid(tuple))
ereport(
ERROR, (errcode(ERRCODE_CACHE_LOOKUP_FAILED), errmsg("cache lookup failed for relation %u", relOid)));
pg_class_tuple = (Form_pg_class)GETSTRUCT(tuple);
. . .
/* 系统表pg_class中获取旧ACL。若不存在旧的ACL,则新建一个ACL,若存在旧的ACL,则将旧的ACL存储为一个副本 */
ownerId = pg_class_tuple->relowner;
aclDatum = SysCacheGetAttr(RELOID, tuple, Anum_pg_class_relacl, &isNull);
if (isNull) {
switch (pg_class_tuple->relkind) {
case RELKIND_SEQUENCE:
old_acl = acldefault(ACL_OBJECT_SEQUENCE, ownerId);
break;
default:
old_acl = acldefault(ACL_OBJECT_RELATION, ownerId);
break;
}
noldmembers = 0;
oldmembers = NULL;
} else {
old_acl = DatumGetAclPCopy(aclDatum);
noldmembers = aclmembers(old_acl, &oldmembers);
}
old_rel_acl = aclcopy(old_acl);
/* 处理表级别的权限 */
if (this_privileges != ACL_NO_RIGHTS) {
AclMode avail_goptions;
Acl* new_acl = NULL;
Oid grantorId;
HeapTuple newtuple = NULL;
Datum values[Natts_pg_class];
bool nulls[Natts_pg_class] = {false};
bool replaces[Natts_pg_class] = {false};
int nnewmembers;
Oid* newmembers = NULL;
AclObjectKind aclkind;
/* 获取授权者grantorId和授权者对该操作对象所拥有的授权权限avail_goptions */
select_best_grantor(GetUserId(), this_privileges, old_acl, ownerId, &grantorId, &avail_goptions);
switch (pg_class_tuple->relkind) {
case RELKIND_SEQUENCE:
aclkind = ACL_KIND_SEQUENCE;
break;
default:
aclkind = ACL_KIND_CLASS;
break;
}
/* 结合参数avail_goptions和SQL命令中给出的操作权限,计算出实际需要授予或回收的权限 */
this_privileges = restrict_and_check_grant(istmt->is_grant,
avail_goptions,
istmt->all_privs,
this_privileges,
relOid,
grantorId,
aclkind,
NameStr(pg_class_tuple->relname),
0,
NULL);
/* 生成新的ACL,并更新到系统表pg_class对应元组的ACL字段 */
new_acl = merge_acl_with_grant(old_acl,
istmt->is_grant,
istmt->grant_option,
istmt->behavior,
istmt->grantees,
this_privileges,
grantorId,
ownerId);
. . .
replaces[Anum_pg_class_relacl - 1] = true;
values[Anum_pg_class_relacl - 1] = PointerGetDatum(new_acl);
newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation), values, nulls, replaces);
simple_heap_update(relation, &newtuple->t_self, newtuple);
. . .
}
/* 若存在列级授权或回收,则调用ExecGrant_Attribute 函数处理 */
. . .
if (have_col_privileges) {
AttrNumber i;
for (i = 0; i < num_col_privileges; i++) {
if (col_privileges[i] == ACL_NO_RIGHTS)
continue;
ExecGrant_Attribute(istmt,
relOid,
NameStr(pg_class_tuple->relname),
i + FirstLowInvalidHeapAttributeNumber,
ownerId,
col_privileges[i],
attRelation,
old_rel_acl);
}
}
. . .
}
heap_close(attRelation, RowExclusiveLock);
heap_close(relation, RowExclusiveLock);
}
权限检查
用户在对数据库对象进行访问操作时,数据库会检查用户是否拥有该对象的操作权限。通常数据库对象的所有者和初始用户(superuser)拥有该对象的全部操作权限,其他普通用户需要被授予权限才可以执行相应操作。数据库通过查询数据库对象的访问控制列表检查用户对数据库对象的访问权限,数据库对象的ACL保存在对应的系统表中,当被授予或回收对象权限时,系统表中保存的ACL权限位会被更新。常用的数据库对象权限检查函数、ACL检查函数、ACL所在系统表以及对象所有者检查函数对应关系如表2所示。
表2 数据库对象函数对应关系表
下面以表的权限检查为例进行权限检查过程说明。表权限检查函数pg_class_aclcheck的定义代码如下:
AclResult pg_class_aclcheck(Oid table_oid, Oid roleid, AclMode mode, bool check_nodegroup)
{
if (pg_class_aclmask(table_oid, roleid, mode, ACLMASK_ANY, check_nodegroup) != 0)
return ACLCHECK_OK;
else
return ACLCHECK_NO_PRIV;
}
pg_class_aclcheck函数有4个入参,其中table_oid用于表示待检查的表,roleid用于表示待检查的用户或角色,mode表示待检查的权限,此权限可以是一种权限也可以是多种权限的组合。第4个参数check_nodegroup用于表示是否检查nodegroup逻辑集群权限,如果调用时不给此参数赋值则默认为true。函数返回值为枚举类型AclResult,如果检查结果有权限返回ACLCHECK_OK,无权限则返回ACLCHECK_NO_PRIV。
pg_class_aclcheck函数通过调用pg_class_aclmask函数实现对象权限检查。pg_class_aclmask函数有5个参数,其中第4个参数how为AclMaskHow枚举类型,包括ACLMASK_ALL和ACLMASK_ANY两种取值;ACLMASK_ALL表示需要满足待检查权限mode中的所有权限,ACLMASK_ANY表示只需满足待检查权限mode中的一种权限即可。pg_class_aclmask函数的其余4个参数table_oid、roleid、mode和check_nodegroup,直接由pg_class_aclcheck函数传入。pg_class_aclmask函数从pg_class系统表中获取ACL权限信息并调用aclmask函数完成权限位校验,通过AclMode数据类型返回权限检查结果。
华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。
更多推荐
27
0- 0
已为社区贡献442条内容
所有评论(0)