Vídeo: Curso de Excel Avançado - Botões de Opção - Aula 2 2024
Um padrão útil para a segurança é aplicar permissões com base em dados dentro de um registro, em vez de atribuir permissões separadamente para a gravação. Isso pode basear-se em valores de metadados, coluna individual (clones Bigtable) ou elemento (bancos de dados agregados NoSQL).
Um bom exemplo é o nome de um cliente que está sendo mencionado em um documento. Você pode querer restringir o acesso a todos os documentos que mencionam isso - acesse apenas as pessoas com acesso às informações deste cliente. Você pode restringir o acesso a esses documentos processando os dados dentro do documento e aplicando as permissões de segurança relevantes com base no valor desses dados.
Nenhum banco de dados NoSQL fornece esta capacidade diretamente fora da caixa. Isso ocorre porque as permissões devem ser atribuídas à gravação depois que os dados são salvos pelo aplicativo, mas antes que ele esteja disponível para recuperação por outros aplicativos ou usuários. Portanto, essa permissão de atribuição deve ocorrer dentro do limite da transação.
Além disso, muito poucos bancos de dados NoSQL suportam transações compatíveis com ACID (MarkLogic, FoundationDB e Neo4j, por exemplo). Se um banco de dados não suportar a atribuição de permissões out-of-the-box com base em dados em um documento, mas suporta transações ACID e gatilhos de pré-confirmação, então uma solução fácil é possível.
Geralmente, é fácil escrever um gatilho que verifique a presença de um valor dentro de um registro e para modificar permissões com base em seu valor. Enquanto um banco de dados suportar isso durante o processo de confirmação, e não após o commit, você sabe que seus dados são protegidos usando um simples gatilho de pré-confirmação.
Como exemplo, o MarkLogic Server suporta transações de ACID totalmente serializáveis e disparadores de pré-confirmação. O seguinte é um documento XML simples que eu quero apoiar para o controle de acesso baseado em atributo:
jbloggs ACME Lorem Ipsum Dolar Sit Amet …
Os disparadores do MarkLogic Server usam a linguagem W3C XQuery. O seguinte exemplo XQuery é um simples gatilho que, quando instalado no MarkLogic, atribui permissões de leitura e gravação:
versão xquery "1. 0-ml"; import module namespace trgr = ' // marklogic. com / xdmp / triggers 'em' / MarkLogic / triggers. xqy '; declarar variável $ trgr: uri como xs: string externo; declarar variável $ trgr: trigger as node () external; se ("ACME" = fn: doc ($ trgr: uri) / MeetingReport / Customer), em seguida, xdmp: document-set-permissions ($ trgr-uri, (xdmp: permission ("seniorsales", "update"), xdmp: permissão ("vendas", "leitura"))) else ()
Uma vez que o gatilho está instalado nos setperms do arquivo.xqy em um banco de dados de módulos do servidor MarkLogic, execute o seguinte código no aplicativo de codificação web para MarkLogic - Query Console para habilitar o gatilho. Em uma instalação padrão do MarkLogic Server, você pode encontrar o Query Console no URL: // localhost: 8000 / qconsole.
Aqui está o código que mostra como instalar o gatilho usando Query Console:
xquery version "1. 0-ml"; Importar espaço de nome do módulo trgr = " // marklogic. com / xdmp / triggers" em '/ MarkLogic / triggers. xqy '; trgr: create-trigger ("setperms", "Set Sales Doc Permissions", trgr: trigger-data-event (trgr: collection-scope ("reportes de reunião"), trgr: document-content ("modify"), trgr: pre -commit ()), trgr: trigger-module (xdmp: banco de dados ("Módulos"), "/ triggers /", "setperms. xqy"), fn: true (), xdmp: default-permissions (), fn: false ())
