PostgreSQL 应用程序访问

Question

我正在使用 JDBC 连接到 PostgreSQL 数据库。我们正在尝试阻止用户本身访问数据库；相反，他们应该被迫使用我们的前端。我们阻止了对任何表的访问，只提供了为用户完成所有工作的过程，但仍然不给他们任何直接访问数据的机会。我们尝试阻止对模式 pg_catalog 的访问，这将用户限制为我们创建的过程，但 JDBC 调用任何过程似乎都需要此访问权限。

无论如何，问题是如何在不访问 pg_catalog 的情况下使用 JDBC，或者如何仅授权应用程序而不是用户建立的连接。

Answer 1

没有万无一失的方法，但最简单的方法是使用您不提供给用户的用户名和密码进行连接。将密码存储在加密的配置文件中。当然，聪明人可以从应用程序中检索加密密钥。

对于一个真正节省的系统，最好在数据库前面放置一个服务来处理所有安全性并提供高级 API 来访问数据并让客户端连接到它。

Answer 2

DBMS 面临着 Catch-22 情况：

• 当用户运行特定的 JDBC 程序来访问数据库时，让它做它的事情。
• 当用户运行任何其他 JDBC 程序来访问数据库时，不要让它做它的事情。

DBMS 如何区分两个程序之间的差异？就其而言，它们都是使用正确协议与 DBMS 通信的客户端，并且已将自己标识为数据库的合法用户。

为了使其发挥作用，您必须找到一种不可颠覆的方法来区分这两个应用程序。至少可以说，这并不是一件小事。

存在一些矛盾，但没有一个干净的解决方案。当问题如问题中所示时，这是任何 DBMS 都会面临的一个普遍问题。

Answer 3

好吧，只是不要为您的用户提供 postgresql 数据库帐户，而只为您的应用程序创建一个 postgresql 帐户。