RBAC: когда создавать нового пользователя в ДБ?

Question

[Melz]

Добрый день,

У нас есть небольшой проект, который нас попросили расшарить клиенты и его отправят во "внешний мир".
В проекте четкие роли пользователя, что куда идет и RBAC.

Если брать пример из ИТ, то выглядит как-то так.

- Отделение
--- Проект
----- Команда
------- Пользователь

База данных для каждого клиента ОДНА. Для микросервисов проект слишком маленький.

Учитывая что сейчас хакают все и вся решили сделать лишнюю защиту в виде собственного пользователя в БД с правами записи в таблицу.
Те у тимлида нет прав писать в таблицу данных отделения.

Звучит прикольно...

Но, по факту в разных точках у человека разные права и по факту у нас получится, что чтобы показать одну страницу надо использовать 3 разных строки соединения.
Та же панель мониторинга будет кошмаром...

Вопросы:

1. когда вообще в базе надо создавать отдельного пользователя? Есть практики что что почитать?
2. есть ли какие паттерны проектирования баз под такое. Идея-то интересная.
3. Какие слова вообще гуглить?

Comments

[ThunderCat]

База данных для каждого клиента ОДНА.

Имелось в виду "база данных для всех клиентов одна"?

Answer 1

[ThunderCat]

1. когда вообще в базе надо создавать отдельного пользователя? Есть практики что что почитать?

Когда человек регистрируется в системе, вроде очевидно.

2. есть ли какие паттерны проектирования баз под такое. Идея-то интересная.

Есть конечно. Только подход с пользователями бд обычно тупая идея, так как смена роли/группы/доступа будет нуждаться в прямом вмешательстве в систему бд, что не есть гуд. Обычно RBAC не реализуется на уровне пользователей бд, а использует код, который ориентируется на данные из бд.

3. Какие слова вообще гуглить?

RBAC <ваш фреймворк> library