一文读懂图数据库 Nebula Graph 访问控制实现原理

数据库权限管理对大家来说都已经很熟悉了。Nebula Graph 本身是一个高性能的海量图数据库，对数据的安全控制也是不容质疑的。目前 Nebula Graph 已支持基于角色的权限控制功能。在这篇文章中将详细介绍 Nebula Graph 的用户管理和权限管理。

01Nebula Graph 架构体系​

由上图可知，Nebula Graph的主体架构分为三部分：Computation Layer、Storage Layer 和 Meta Service。Console 、API 和 Web Service 被统称为 Client API。账户数据和权限数据将被存储在 Meta Engine中，当Query Engine 启动后，将会初始 Meta Client，Query Engine 将通过 Meta Client 与 Meta Service 进行通信。

当用户通过 Client API 连接 Query Engine 时，Query Engine 会通过 Meta Client 查询 Meta Engine 的用户数据，并判断连接账户是否存在，以及密码是否正确。当验证通过后，连接创建成功，用户可以通过这个连接执行数据操作。当用户通过 Client API 发送操作指令后，Query Engine 首先对此指令做语法解析，识别操作类型，通过操作类型、用户角色等信息进行权限判断，如果权限无效，则直接在 Query Engine 阻挡操作，并返回错误信息至 Client API。在整个权限检查的过程中，Nebula Graph 对 Meta data 进行了缓存，将在以下章节中介绍。

02功能描述

在介绍功能之前，需要先描述一下 Nebula Graph 的逻辑结构：Nebula Graph 是一个支持多图空间（Space) 的图数据库，Space 中独立管理 Schema 和 Data，Space 和 Space 之间相互独立。另外，Nebula Graph 还提供了一系列高级命令用于全局管理 Cluster，Cluster 的操作命令和 Space 的操作命令将在下文中详细描述。

因此 Nebula Graph 的权限管理将会基于图空间（Space）、角色（Role）、操作（Operation）三个维度进行。详细描述请看下列子章节。

角色划分  

Nebula Graph 提供了五种操作角色，分别是 GOD、ADMIN、DBA、USER、GUEST，这五种操作角色基本覆盖了所有的数据安全控制的场景。一个登陆账户（Account）可以在不同的 Space 中拥有不同角色，但一个 Account 在同一个 Space 中只能拥有一种角色。角色讲解：

• GOD：相当于 Linux 操作系统中的 root 用户，拥有最高的管理权限。Nebula Graph Cluster 在初始化时会默认创建一个 GOD 角色的 Account，名为 root。
• ADMIN：基于 Space 的高级管理员，拥有此 Space 之内的所有管理权限，但对整个集群则没有管理权限。
• DBA：数据库管理员，可以对权限内的 Space 进行管理，例如对 Schema / Data 进行修改和查询。和 ADMIN 的区别是 DBA 不能对某个 Account 进行授权操作，但 ADMIN 可以。
• USER：普通的数据库使用角色。可读写 Data，可读 Schema 但没有写权限。
• GUEST：访问者角色，对权限内 Space 的 Schema 和 Data 有只读权限。

详细权限列表如下图所示：

注 : Special Operation 为特殊操作，例如 SHOW SPACE，每个角色都可以执行，但其执行结果只显示 Account 权限内的结果。

数据库操作权限细分  

基于上边的角色列表，不同的角色拥有不同的操作许可，详细如下：

03控制逻辑

Nebula Graph 的用户管理和权限管理和大多数数据库的控制相似，基于 meta server，对图空间（Space）、角色（Role）、操作（Operation）三个层面进行权限管理，当 Client 连接 Nebula Graph Server 的时候，Nebula Graph Server 首先会验证登陆账户（Account）是否存在，并验证密码是否有效。

登录成功后，Nebula Graph Server 会为此连接初始 Session ID，并将 Session ID、用户信息、权限信息和 Space 信息一起加载到 Session 结构中。后续的每次操作将基于 Session 结构中的信息进行权限判断。直到用户主动退出连接或 session timeout，Session 销毁。另外，Meta Client 对权限信息进行了缓存，并根据设置的时间频率进行缓存同步，有效降低了用户连接的过程的时间耗费。

控制逻辑代码片段  

Permission Check​

Permission Check Entry

04示例

查看现有用户角色  

创建用户 

为 Space 中的不同 Account 指定角色 

查看特定 Space 的已有角色 

取消特定 Space 的角色授权 

删除某个 Account 角色 

本文转载自公共号Nebula Graph