基于角色的访问控制

    本文档主要介绍 TiDB 基于角色的访问控制相关操作及实现。

    角色是一系列权限的集合。用户可以创建角色、删除角色、将权限赋予角色;也可以将角色授予给其他用户,被授予的用户在启用角色后,可以得到角色所包含的权限。

    创建角色 app_developer,app_read 和 app_write:

    角色名的格式和规范可以参考 。

    角色会被保存在 表中,角色名称的主机名部分(如果省略)默认为 '%'。如果表中有同名角色或用户,角色会创建失败并报错。创建角色的用户需要拥有 CREATE ROLECREATE USER 权限。

    授予角色权限

    为角色授予权限和为用户授予权限操作相同,可参考 TiDB 权限管理

    app_read 角色授予数据库 app_db 的读权限:

    1. GRANT SELECT ON app_db.* TO 'app_read'@'%';

    app_write 角色授予数据库 app_db 的写权限:

    1. GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write'@'%';

    app_developer 角色授予 app_db 数据库的全部权限:

    1. GRANT ALL ON app_db.* TO 'app_developer';

    将角色授予给用户

    假设有一个用户拥有开发者角色,可以对 app_db 的所有操作权限;另外有两个用户拥有 app_db 的只读权限;还有一个用户拥有 app_db 的读写权限。

    首先用 CREATE USER 来创建用户。

    1. CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';
    2. CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';
    3. CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';
    4. CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass';

    然后使用 GRANT 授予用户对应的角色。

    1. GRANT 'app_developer' TO 'dev1'@'localhost';
    2. GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
    3. GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

    用户执行将角色授予给其他用户或者收回角色的命令,需要用户拥有 SUPER 权限。将角色授予给用户时并不会启用该角色,启用角色需要额外的操作。

    以下操作可能会形成一个“关系环”:

    1. CREATE USER 'u1', 'u2';
    2. CREATE ROLE 'r1', 'r2';
    3. GRANT 'u1' TO 'u1';
    4. GRANT 'r1' TO 'r1';
    5. GRANT 'r2' TO 'u2';
    6. GRANT 'u2' TO 'r2';

    TiDB 允许这种多层授权关系存在,可以使用多层授权关系实现权限继承。

    查看角色拥有的权限

    1. SHOW GRANTS FOR 'dev1'@'localhost';
    1. +-------------------------------------------------+
    2. | Grants for dev1@localhost |
    3. +-------------------------------------------------+
    4. | GRANT `app_developer`@`%` TO `dev1`@`localhost` |
    5. +-------------------------------------------------+

    可以通过使用 SHOW GRANTSUSING 选项来查看角色对应的权限。

    1. SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';
    1. +----------------------------------------------------------+
    2. | Grants for dev1@localhost |
    3. +----------------------------------------------------------+
    4. | GRANT USAGE ON *.* TO `dev1`@`localhost` |
    5. | GRANT ALL PRIVILEGES ON `app_db`.* TO `dev1`@`localhost` |
    6. +----------------------------------------------------------+
    1. SHOW GRANTS FOR 'rw_user1'@'localhost' USING 'app_read', 'app_write';
    1. SHOW GRANTS FOR 'read_user1'@'localhost' USING 'app_read';
    1. +--------------------------------------------------------+
    2. | Grants for read_user1@localhost |
    3. +--------------------------------------------------------+
    4. | GRANT USAGE ON *.* TO `read_user1`@`localhost` |
    5. | GRANT SELECT ON `app_db`.* TO `read_user1`@`localhost` |
    6. | GRANT `app_read`@`%` TO `read_user1`@`localhost` |
    7. +--------------------------------------------------------+

    可以使用 SHOW GRANTSSHOW GRANTS FOR CURRENT_USER() 查看当前用户的权限。这两个语句有细微的差异,SHOW GRANTS 会显示当前用户的启用角色的权限,而 SHOW GRANTS FOR CURRENT_USER() 则不会显示启用角色的权限。

    角色在授予给用户之后,并不会生效;只有在用户启用了某些角色之后,才可以使用角色拥有的权限。

    可以对用户设置默认启用的角色;用户在登陆时,默认启用的角色会被自动启用。

    1. SET DEFAULT ROLE
    2. {NONE | ALL | role [, role ] ...}
    3. TO user [, user ]

    比如将 app_readapp_wirte 设置为 rw_user1@localhost 的默认启用角色:

    1. SET DEFAULT ROLE app_read, app_write TO 'rw_user1'@'localhost';

    dev1@localhost 的所有角色,设为其默认启用角色:

    1. SET DEFAULT ROLE ALL TO 'dev1'@'localhost';

    关闭 dev1@localhost 的所有默认启用角色:

    1. SET DEFAULT ROLE NONE TO 'dev1'@'localhost';

    需要注意的是,设置为默认启用角色的角色必须已经授予给那个用户。

    在当前 session 启用角色

    除了使用 SET DEFAULT ROLE 启用角色外,TiDB 还提供让用户在当前 session 启用某些角色的功能。

    1. SET ROLE {
    2. DEFAULT
    3. | NONE
    4. | ALL
    5. | ALL EXCEPT role [, role ] ...
    6. | role [, role ] ...
    7. }

    例如,登陆 rw_user1 后,为当前用户启用角色 app_readapp_write ,仅在当前 session 有效:

    1. SET ROLE 'app_read', 'app_write';

    启用当前用户的默认角色:

    1. SET ROLE DEFAULT

    启用授予给当前用户的所有角色:

    1. SET ROLE ALL

    不启用任何角色:

      启用除 app_read 外的角色:

      查看当前启用角色

      当前用户可以通过 CURRENT_ROLE() 函数查看当前用户启用了哪些角色。

      例如,先对 rw_user1'@'localhost 设置默认角色:

      1. SET DEFAULT ROLE ALL TO 'rw_user1'@'localhost';

      rw_user1@localhost 登陆后:

      1. SELECT CURRENT_ROLE();
      1. +--------------------------------+
      2. | CURRENT_ROLE() |
      3. +--------------------------------+
      4. | `app_read`@`%`,`app_write`@`%` |
      1. SET ROLE 'app_read'; SELECT CURRENT_ROLE();
      1. +----------------+
      2. | CURRENT_ROLE() |
      3. +----------------+
      4. | `app_read`@`%` |
      5. +----------------+

      收回角色

      解除角色 app_read 与用户 read_user1@localhostread_user2@localhost 的授权关系。

      1. REVOKE 'app_read' FROM 'read_user1'@'localhost', 'read_user2'@'localhost';

      解除角色 app_readapp_write 与用户 rw_user1@localhost 的授权关系。

      1. REVOKE 'app_read', 'app_write' FROM 'rw_user1'@'localhost';

      解除角色授权具有原子性,如果在撤销授权操作中失败会回滚。

      REVOKE 语句与 GRANT 对应,可以使用 REVOKE 来撤销 app_write 的权限。

      1. REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';

      具体可参考 。

      删除角色

      删除角色 app_readapp_write

      1. DROP ROLE 'app_read', 'app_write';

      这个操作会清除角色在 mysql.user 表里面的记录项,并且清除在授权表里面的相关记录,解除和其相关的授权关系。执行删除角色的用户需要拥有 DROP ROLEDROP USER 权限。

      授权表

      在原有的四张系统权限表的基础上,角色访问控制引入了两张新的系统表:

      • mysql.role_edges:记录角色与用户的授权关系
      • mysql.default_roles:记录每个用户默认启用的角色

      以下是 mysql.role_edges 所包含的数据。

      1. select * from mysql.role_edges;
      1. +-----------+-----------+---------+---------+-------------------+
      2. | FROM_HOST | FROM_USER | TO_HOST | TO_USER | WITH_ADMIN_OPTION |
      3. +-----------+-----------+---------+---------+-------------------+
      4. | % | r_1 | % | u_1 | N |
      5. +-----------+-----------+---------+---------+-------------------+
      6. 1 row in set (0.00 sec)

      其中 FROM_HOSTFROM_USER 分别表示角色的主机名和用户名,TO_HOSTTO_USER 分别表示被授予角色的用户的主机名和用户名。

      mysql.default_roles 中包含了每个用户默认启用了哪些角色。

      1. +------+------+-------------------+-------------------+
      2. | HOST | USER | DEFAULT_ROLE_HOST | DEFAULT_ROLE_USER |
      3. +------+------+-------------------+-------------------+
      4. | % | u_1 | % | r_1 |
      5. | % | u_1 | % | r_2 |
      6. +------+------+-------------------+-------------------+
      7. 2 rows in set (0.00 sec)

      HOSTUSER 分别表示用户的主机名和用户名,DEFAULT_ROLE_HOSTDEFAULT_ROLE_USER 分别表示默认启用的角色的主机名和用户名。

      其他