MySQL 应用程序中的安全多租户

Question

我有一个 JSP/MySQL Web 服务，用户可以在其中与“进程”交互——他们可以为给定进程上传数据、配置、查看报告等。他们还可以创建新流程或运行比较多个流程的报告。

目前，进程 ID 在 URL（GET 参数）中指定，因此任何用户都可以与任何进程交互。 我被要求为此服务添加安全性和多租户。为简单起见，假设每个租户都拥有对一组进程的完全访问权限，但多个租户可以访问进程。

我的首选方法：

• 添加用户表（PK_User_Id、password_hash、名称等）
• 添加访问表（FK_User_Id、FK_Process_Id） 将
• Tenant_Id 存储在会话中的 SSL 登录页面
• 允许您选择要使用的 Process_Id 的进程选择页面可以访问并将其存储在会话中
• 几乎每个页面都会根据会话的 Process_Id 创建其 SQL 查询
• “跨进程”页面（例如“创建”、“选择”和“比较”）将根据会话的 User_Id 进行工作相反，

我的老板认为这“不够”安全，无法满足外部代码审核的要求。他担心任性的开发人员仍然可能编写一个查询，将一个客户的数据暴露给另一个客户或其他人。

他希望我还使用 ANSI SQL 的内置角色（应用程序必须与数据库无关）为每个用户创建一个数据库角色。该角色将详细说明该角色有权访问哪些表、共享表中的哪些行等。这样，在登录时，连接将是“安全的”，并且开发人员的错误不会导致问题。

• 这可能吗？
• 是否有与 MySQL 一起使用的与数据库无关的“角色”？
• 角色是否可以指定当主键为“foo”时允许您向表中添加行？
• 按照行业标准，我的系统“足够安全”吗？

Answer 1

以下是我对具有单个数据库的 MySQL 多租户所做的操作，以确保数据的私有性：

1. 为每个租户创建一个 mysql 用户
2. 向每个表添加租户_id 列
3. 使用触发器在 INSERT 时自动将当前 mysql 用户放入租户_id 列中
4. 为每个表创建一个视图，仅显示tenant_id = mysql_user的行（视图中不包括tenant_id列）
5. 限制租户mysql用户只能访问这些视图

由于应用程序正在使用租户的mysql用户，因此没有机会他们可能会意外地获取其他租户的数据。

我能够在一个周末将大型单租户 mysql 应用程序转换为多租户，只需进行最小的更改。我在这里记录了设计： https://opensource.io/it/mysql-multi-tenant /

Answer 2

1. 改用 PostgreSQL，因为它支持真实模式，与 MySQL 不同

2. 如果必须使用 MySQL，请执行以下操作：

   • 每个租户创建一个 mysql 用户
   • 向每个表添加一个索引列，tenant VARCHAR(16) NOT NULL
   • 向每个表添加一个触发器，将租户设置为 mysql 连接用户名 ON BEFORE INSERT
   • 为每个设置 WHERE 租户 = mysql 连接用户名的表创建一个视图。不要在选择列表中包含租户列
   • 向租户用户授予视图权限，但不授予表权限

，现在用户只能查看自己的租户信息。

Answer 3

我们对多租户安全性和处理请求进行了类似的讨论所以问题 。但总之我认为在会话中存储tenantID是一个巨大的安全风险。用户可以从一个租户转到另一个租户，租户 ID 将保持不变，并且租户 ID 不应通过 url 发送。