SQL requests authorization
На данный момент пользовательские запросы никак не авторизуются. Гранта на функцию pico.sql достаточно, чтобы делать что угодно с любыми спейсами. В рамках данного тикета необходимо проверять гранты на отдельные спейсы тоже.
Designs
- picodata #28023.12.0
- picodata #33923.12.0
Activity
marked this issue as related to picodata#280 (closed)
marked this issue as related to picodata#339 (closed)
Роутер:
- Проверка доступа на чтение к системным спейсам у пользователя.
Сторадж:
- Проверка доступа на чтение к системным спейсам у пользователя.
- DQL: проверка чтения всех спейсов в плане.
- DML: проверка модификации целевого спейса и чтения для остальных.
- DDL: проверка прав на создание или удаление спейса у пользователя.
changed milestone to %2023, Q3
Есть опция
box.schema.func.create({setuid = true}). Из документации я так и не понял в какую сторону она работает, но видимо нам нужно что-то похожее. Илиbox.session.su.-
Из документации я так и не понял в какую сторону она работает
Не в ту, что нам надо:
For a binary-port connection invoking a stored function with the CALL command – if the SETUID property is enabled for the function, Tarantool temporarily replaces the current user with the function’s creator, with all the creator’s privileges, during function execution.
assigned to @darthunix
added in-progress label
mentioned in issue picodata#356 (closed)
-
The issue is blocked by: picodata#355 (closed) and picodata#356 (closed)
Branch: https://git.picodata.io/picodata/picodata/picodata/-/tree/auth_priv
mentioned in merge request picodata/tarantool!101
changed milestone to %2023, Q4
mentioned in merge request picodata/tarantool!122
mentioned in merge request picodata!693 (merged)
added ACL label
removed in-progress label
added in-progress label
mentioned in merge request picodata!727 (merged)
closed with merge request picodata!727 (merged)