如何使用 postgres 角色和密码进行网站身份验证

How can I use postgres roles and passwords for website authentication

我希望未来的 Web 应用程序的用户能够使用他们的网站用户名和密码登录到 postgres 数据库。

该网站将使用特殊用户名(例如 "web")连接到 postgres,该用户名将无法用作网站用户名。 (和 "postgres" 一样)

尚无用户或密码,因此不存在迁移问题。所有网站用户都将是 postgres 用户。该网站可以哈希密码,但 postgres 可以。

以最少的数据重复实现这一目标的最明智的方法是什么?

我可以 use/extend postgres 的内部角色表作为 username/password 身份验证的一般来源吗?即我需要能够 运行 一个查询,该查询将告诉我给定的 username/password 组合是否有效。

或者单独存储网站用户名和密码并以某种方式让 postgres 使用它更好吗?

我发现 https://www.postgresql.org/docs/9.6/static/catalog-pg-authid.html 写了一个 pg_authid table,其中包含 password || username.

的用户名和 md5 哈希值

当我创建了一个可以更新此 table 的用户后,我希望能够将其用于网站登录。它限制我使用 md5,这并不理想。

您确实可以使用 select

检查身份验证
t=# select 'md5'||md5('somePass'||usename) = passwd from pg_shadow where usename = 'web';
 ?column?
----------
 t
(1 row)

但是您不应该直接操作 pg_authid,而是使用 SQL 语句,例如:

t=# create user web password 'somePass';
CREATE ROLE

t=# alter user web password 'anotherP';
ALTER ROLE
t=# select 'md5'||md5('somePass'||usename) = passwd from pg_shadow where usename = 'web';
 ?column?
----------
 f
(1 row)

t=# select 'md5'||md5('anotherP'||usename) = passwd from pg_shadow where usename = 'web';
 ?column?
----------
 t
(1 row)

和:

t=# drop user web;
DROP ROLE
t=# select 'md5'||md5('anotherP'||usename) = passwd from pg_shadow where usename = 'web';
 ?column?
----------
(0 rows)

为了避免在应用程序中扮演 SU 角色,只需为帐户操作创建总结,例如:

t=# create or replace function adduser(_u text,_p text) returns boolean as $$
begin
 execute format('create user %I password %L',_u,_p);
 return true;
end;
$$ language plpgsql security definer;
CREATE FUNCTION

安全定义器将允许应用用户创建新角色:

t=# select adduser('web','newP');
 adduser
---------
 t
(1 row)

t=# select 'md5'||md5('newP'||usename) = passwd from pg_shadow where usename = 'web';
 ?column?
----------
 t
(1 row)

不要忘记添加一些逻辑和例外,这样应用程序就不会干扰现有的 SU 角色(不删除,不更改密码)。

最后我觉得这样的想法可能很危险。在实施之前计划...