MySQL：限制每个用户对记录子集的访问

Question

我们正在使用几个大致如下所示的表格：

| ID  | DepartmentId | Data |
| 1   | 1            | ...  |
| 2   | 1            | ...  |
| 3   | 2            | ...  |
| 4   | 3            | ...  |
| 5   | 2            | ...  |

我们有大约 200 个 MySQL 用户，每个用户都与一个或多个部门相关联（通过一个简单的 Username/DepartmentId 表） 我们希望将访问（SELECT、UPDATE）限制为每个用户的正确记录子集。

例如，一个

SELECT * FROM DataTable

与部门 1 和 3 关联的用户“Bob”应返回记录 1、2 和 4。 与部门 1 关联的用户“Alice”的相同查询应该只返回记录 1 和 2。

最好的方法是什么？

Answer 1

MySQL 没有基于行的权限。您可以做的最好的事情是构建视图以显示某些记录。一种简单的方法是将带有 mysql 用户名的映射表添加到他们有权访问的部门 id 中，并将该映射表上的视图选择连接到原始的，仅限于当前的请求用户。可以使用CURRENT_USER()获取当前mysql用户。

然后将用户限制在视图中，而不是原始表中。

以下是步骤的细分：

   CREATE TABLE `mysqluser_dept` (
     `mysqluser` varchar(255) NOT NULL DEFAULT '',
     `DepartmentId` int(11) NOT NULL DEFAULT '0',
       PRIMARY KEY (`mysqluser`,`DepartmentId`)
   ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

    CREATE SQL SECURITY INVOKER VIEW filtered_view AS 
           SELECT o.* FROM original_table o 
               JOIN mysqluser_dept m on m.DepartmentId = o.DepartmentId
                    WHERE m.mysqluser = current_user() GROUP by o.id;

如果您不想显示原始表的所有列，可以根据需要将视图中的select o.* 限制为一组特定的字段。现在根据需要填充mysqlusers 到departmet 列的映射表。当前用户返回确切的用户，因此使用完整的用户字符串（用户名@localhost、用户名@% 等）或更改视图以在比较中截断主机。

现在用户可以访问filtered_view，并且只能看到他们有权访问的行（按部门）。奖励：由于这是多对多，如果需要，您可以在多个部门中拥有人员 - 原始表主键上的分组避免重复记录。

您可能还想锁定映射表 mysqluser_department 的权限。