告别无穷无尽的“视图”:在应用网关层实现行级权限的架构实践

数据小馒头
0 阅读1分钟

多租户与数据共享环境下的隔离痛点

在企业内部的数据中台建设,或者多租户 SaaS 系统的演进过程中,数据隔离是一个无法回避的命题。

假设核心库中有一张包含全国销售记录的物理大表 global_orders。业务合规要求:华东区的运营人员(或相关微服务)只能查阅华东区的数据,华南区只能看华南区的数据,而集团高管拥有全量数据的读取权限。

为了实现这种行级权限(Row-Level Security, RLS),传统的数据库管理与研发模式往往会陷入工程泥潭。

一、 传统 RLS 方案的工程瓶颈

在引入独立的数据网关之前,架构师们通常有两种选择,但它们在现代微服务和敏捷数据消费场景下都存在致命缺陷:

1. 数据库底层的视图(View)泛滥

最传统的做法是 DBA 在物理表之上,为每一个大区甚至每一个租户创建一个专用的只读视图(如 CREATE VIEW view_orders_hd AS SELECT * FROM global_orders WHERE region = 'HD')。

  • 痛点: 当租户或维度增加到数百个时,数据库中会堆积成百上千个极其难以维护的视图。且一旦底层物理表的 Schema 发生变更,所有的视图都需要连带修改,运维成本呈指数级上升。

2. 数据库原生 RLS 与应用层脱节

部分现代关系型数据库(如 PostgreSQL)原生支持行级安全策略(Row Security Policies)。

  • 痛点: 数据库原生的 RLS 强依赖于数据库底层的 USER 角色。但在现代的 Web SQL 平台或基于连接池的微服务中,所有请求往往共用一个高权限的 Service Account(服务账号)连接数据库。要将前端用户的 SSO 身份上下文实时映射到底层数据库的 Session 变量中,不仅侵入性极强,且在不同异构数据库之间无法通用。

3. 业务代码层面的硬编码

由后端工程师在 ORM 框架(如 MyBatis 或 Hibernate)中编写拦截器,强制在所有查询后拼接 WHERE region_id = ?。

  • 痛点: 这种方案只防“系统”不防“人”。如果数据分析师通过本地客户端或 BI 工具直接连接数据库,应用层的拦截器将彻底失效,引发越权泄漏。

二、 架构破局:网关层面的“偷梁换柱”

现代数据架构给出的解法是:放弃在物理数据库内核和业务应用层中死磕,将行级权限管控上收至 Layer 7 的数据应用网关(Web SQL 与 SQL2API 基座)。

无论是由自然人通过 Web SQL 发起的即席查询,还是由外部系统通过 SQL2API 发起的接口调用,所有流量必须经过网关的统一解析引擎。

核心机制:AST 解析与动态条件注入

网关实现 RLS 的核心,并非简单的字符串拼接(那极易引发 SQL 注入和语法错误),而是基于**抽象语法树(AST, Abstract Syntax Tree)**的语义级重写。具体流水线如下:

  1. 上下文提取 (Context Extraction): 当请求到达时,网关首先拦截 HTTP Header 中的 JWT Token 或 SSO 会话,解析出当前操作者的企业身份及数据权限标签(例如:{"userId": 1024, "role": "sales", "region": "HD"})。
  2. 语法树解析 (AST Parsing): 网关内置的 SQL 解析器(如基于 Apache Calcite 或 JSqlParser)将接收到的原始查询(如 SELECT id, amount FROM global_orders)转化为内存中的树状数据结构。
  3. 策略匹配与节点注入 (Policy Injection): 网关的合规引擎检测到查询命中了受保护的表 global_orders,随即根据第一步的身份上下文,动态生成一个 AST 条件节点(即 region = 'HD')。引擎将该节点安全地“嫁接”到原 AST 的 WHERE 子句中。如果原查询已有条件(如 WHERE amount > 100),则通过 AND 逻辑运算符进行节点合并。
  4. 语句重构与下发 (SQL Reconstruction): 网关将修改后的 AST 重新序列化为方言安全的 SQL 语句(SELECT id, amount FROM global_orders WHERE amount > 100 AND region = 'HD'),最终交由底层的物理连接池发往数据库内核执行。

三、 网关级 RLS 的架构收益

将行级权限剥离并下沉至网关,为企业的数据治理带来了立竿见影的工程收益:

  • 物理统一,逻辑隔离: DBA 只需维护一张底层大表,彻底告别了“视图地狱”。无论增加多少个业务维度,只需在网关控制台配置路由策略即可。
  • 开发无感 (Transparent to Developers): 后端研发人员或数据分析师无需在 SQL 中小心翼翼地编写权限过滤条件。他们只需要像拥有全库权限一样编写纯粹的业务查询,网关会进行“静默兜底”。
  • 全局管控防泄漏: 无论是人(Web SQL)还是机器(SQL2API),只要入口统一,这套 AST 重写规则就绝对生效,彻底消灭了应用层代码遗漏带来的越权死角。

四、 结语

在复杂的数据共享生态中,权限的精细化管控不应成为拖累业务迭代和增加运维负担的枷锁。

通过引入具备 AST 解析能力的数据网关(涵盖 Web SQL 的交互式查询与 SQL2API 的自动化交付),企业成功地将“数据安全逻辑”与“业务计算逻辑”解耦。这种在流量必经之路上设置“智能安检机”的架构思想,是现代数据安全基座从“静态防御”走向“动态治理”的技术核心。

avatar
文章
阅读
粉丝