Рассмотрение дизайна: одно подключение к базе данных пользователя v.s. соединение с несколькими базами данных

Question

Я использовал для подключения базы данных, используя одного пользователя базы данных для каждого веб-приложения.

Теперь для приложения предприятия. Кажется, что пользовательское соединение нескольких databse более безопасно, чем один пользователь.

например: hr dep. используйте учетную запись пользователя hr db в подключении и dev dep. использование другой.

Какой у вас лучший выбор?

Answer 1

У вас может быть одна учетная запись пользователя базы данных для каждого пользователя, такая как «Фрэнк» и «Джейн».

Вы также можете настроить роли, такие как «HR» или «CSR», и назначить своих пользователей ролям. Вы не можете сделать это в MySQL, но можете в MariaDB, хотя у вас тоже есть Oracle;)

У вас также будет учетная запись пользователя для веб-сервера, единственным правом которого является CONNECT и вызов SET ROLE. Вы фактически делегируете аутентификацию веб-серверу. Веб-сервер может аутентифицировать пользователя в базе данных или, возможно, использовать OAUTH.

Подключиться как пользователь веб-сервера, а затем вызвать SET ROLE на имя того, кто входит в систему. Если вы стараетесь сбросить все в соединении, то вы все равно можете использовать объединение.

Затем пользователь может выполнять только то, что вы разрешили им для своих ролей.

Это также полезно для аудита, поскольку вы можете просто поместить CURRENT_USER в таблицу аудита.

Answer 2

Если я правильно понимаю ваш вопрос, обычно рекомендуется настраивать различные учетные записи, чтобы вы могли определить права доступа к различным таблицам для требуемой детализации.
Например, данные, которые относятся к отделу кадров, в идеале должны быть доступны сотрудникам отдела управления персоналом, хотя их, возможно, будет рассматривать высшее руководство. Аналогичным образом, данные, касающиеся клиентов, должны быть доступны пользователям обслуживания клиентов и т. Д.