Row-Level Security (RLS)

Drizzle를 사용하면 Postgres 테이블에 대해 RLS(행 수준 보안)를 활성화하고, 다양한 옵션으로 정책을 생성하며, 해당 정책이 적용되는 역할을 정의하고 관리할 수 있습니다.

Drizzle은 원하는 방식으로 사용할 수 있는 Postgres 정책 및 역할의 원시 표현을 지원합니다. 이는 Neon 및 Supabase와 같은 인기 있는 Postgres 데이터베이스 제공업체에서 작동합니다.

Drizzle에는 두 데이터베이스 제공업체 모두에 대해 미리 정의된 RLS 역할 및 함수가 있지만, 고유한 로직을 정의할 수도 있습니다.

RLS 활성화

정책을 추가하지 않고 테이블에서 RLS만 활성화하려면 .enableRLS()를 사용할 수 있습니다.

PostgreSQL 문서에 언급된 대로:

테이블에 정책이 없는 경우 기본 거부 정책이 사용되므로 행이 보이지 않거나 수정할 수 없습니다. TRUNCATE 및 REFERENCES와 같이 전체 테이블에 적용되는 작업은 행 보안의 영향을 받지 않습니다.

import { integer, pgTable } from 'drizzle-orm/pg-core';

export const users = pgTable('users', {
	id: integer(),
}).enableRLS();

important

테이블에 정책을 추가하면 RLS가 자동으로 활성화됩니다. 따라서 테이블에 정책을 추가할 때 명시적으로 RLS를 활성화할 필요가 없습니다.

역할

현재 Drizzle은 아래와 같이 몇 가지 다른 옵션으로 역할 정의를 지원합니다. 향후 릴리스에서 더 많은 옵션에 대한 지원이 추가될 예정입니다.

import { pgRole } from 'drizzle-orm/pg-core';

export const admin = pgRole('admin', { createRole: true, createDb: true, inherit: true });

데이터베이스에 역할이 이미 존재하고 drizzle-kit가 이를 ‘확인’하거나 마이그레이션에 포함하지 않도록 하려면 역할을 기존 것으로 표시할 수 있습니다.

import { pgRole } from 'drizzle-orm/pg-core';

export const admin = pgRole('admin').existing();

정책

RLS를 완전히 활용하려면 Drizzle 테이블 내에서 정책을 정의할 수 있습니다.

info

PostgreSQL에서 정책은 기존 테이블에 연결되어야 합니다. 정책은 항상 특정 테이블과 연결되므로 정책 정의는 pgTable의 매개변수로 정의되어야 한다고 결정했습니다.

사용 가능한 모든 속성이 포함된 pgPolicy 예제

import { sql } from 'drizzle-orm';
import { integer, pgPolicy, pgRole, pgTable } from 'drizzle-orm/pg-core';

export const admin = pgRole('admin');

export const users = pgTable('users', {
	id: integer(),
}, (t) => [
	pgPolicy('policy', {
		as: 'permissive',
		to: admin,
		for: 'delete',
		using: sql``,
		withCheck: sql``,
	}),
]);

정책 옵션


`as`	가능한 값은 `permissive` 또는 `restrictive`입니다.
`to`	정책이 적용되는 역할을 지정합니다. 가능한 값에는 `public`, `current_role`, `current_user`, `session_user` 또는 문자열로 된 다른 역할 이름이 포함됩니다. `pgRole` 객체를 참조할 수도 있습니다.
`for`	이 정책이 적용될 명령을 정의합니다. 가능한 값은 `all`, `select`, `insert`, `update`, `delete`입니다.
`using`	정책 생성 문의 `USING` 부분에 적용될 SQL 문입니다.
`withCheck`	정책 생성 문의 `WITH CHECK` 부분에 적용될 SQL 문입니다.

기존 테이블에 정책 연결

데이터베이스의 기존 테이블에 정책을 연결해야 하는 상황이 있습니다. 가장 일반적인 사용 사례는 Neon 또는 Supabase와 같은 데이터베이스 제공업체를 사용하는 경우로, 기존 테이블에 정책을 추가해야 합니다. 이 경우 .link() API를 사용할 수 있습니다.

import { sql } from "drizzle-orm";
import { pgPolicy } from "drizzle-orm/pg-core";
import { authenticatedRole, realtimeMessages } from "drizzle-orm/supabase";

export const policy = pgPolicy("authenticated role insert policy", {
  for: "insert",
  to: authenticatedRole,
  using: sql``,
}).link(realtimeMessages);

마이그레이션

drizzle-kit를 사용하여 스키마와 역할을 관리하는 경우 Drizzle 스키마에 정의되지 않은 역할을 참조하려는 상황이 있을 수 있습니다. 이러한 경우 drizzle 스키마에 각 역할을 정의하고 .existing()으로 표시하지 않고도 drizzle-kit가 이러한 역할 관리를 건너뛰도록 할 수 있습니다.

이러한 경우 drizzle.config.ts에서 entities.roles를 사용할 수 있습니다. 전체 참조는 drizzle.config.ts 문서를 참조하세요.

기본적으로 drizzle-kit는 역할을 관리하지 않으므로 drizzle.config.ts에서 이 기능을 활성화해야 합니다.

// drizzle.config.ts
import { defineConfig } from "drizzle-kit";

export default defineConfig({
  dialect: 'postgresql',
  schema: "./drizzle/schema.ts",
  dbCredentials: {
    url: process.env.DATABASE_URL!
  },
  verbose: true,
  strict: true,
  entities: {
    roles: true
  }
});

추가 구성 옵션이 필요한 경우 몇 가지 예제를 더 살펴보겠습니다.

admin 역할이 있고 관리 가능한 역할 목록에서 제외하려는 경우

// drizzle.config.ts
import { defineConfig } from "drizzle-kit";

export default defineConfig({
  ...
  entities: {
    roles: {
      exclude: ['admin']
    }
  }
});

admin 역할이 있고 관리 가능한 역할 목록에 포함하려는 경우

// drizzle.config.ts
import { defineConfig } from "drizzle-kit";

export default defineConfig({
  ...
  entities: {
    roles: {
      include: ['admin']
    }
  }
});

Neon을 사용하고 Neon에서 정의한 역할을 제외하려는 경우 provider 옵션을 사용할 수 있습니다

// drizzle.config.ts
import { defineConfig } from "drizzle-kit";

export default defineConfig({
  ...
  entities: {
    roles: {
      provider: 'neon'
    }
  }
});

Supabase를 사용하고 Supabase에서 정의한 역할을 제외하려는 경우 provider 옵션을 사용할 수 있습니다

// drizzle.config.ts
import { defineConfig } from "drizzle-kit";

export default defineConfig({
  ...
  entities: {
    roles: {
      provider: 'supabase'
    }
  }
});

important

데이터베이스 제공업체에서 지정한 새 역할과 비교하여 Drizzle이 약간 오래된 상황이 발생할 수 있습니다. 이러한 경우 provider 옵션을 사용하고 추가 역할을 exclude할 수 있습니다:

// drizzle.config.ts
import { defineConfig } from "drizzle-kit";

export default defineConfig({
  ...
  entities: {
    roles: {
      provider: 'supabase',
      exclude: ['new_supabase_role']
    }
  }
});

뷰의 RLS

Drizzle를 사용하면 뷰에 대한 RLS 정책도 지정할 수 있습니다. 이를 위해서는 뷰의 WITH 옵션에서 security_invoker를 사용해야 합니다. 다음은 간단한 예제입니다:

...

export const roomsUsersProfiles = pgView("rooms_users_profiles")
  .with({
    securityInvoker: true,
  })
  .as((qb) =>
    qb
      .select({
        ...getTableColumns(roomsUsers),
        email: profiles.email,
      })
      .from(roomsUsers)
      .innerJoin(profiles, eq(roomsUsers.userId, profiles.id))
  );

Neon과 함께 사용하기

Neon 팀은 원시 정책 API 위에 래퍼에 대한 비전을 구현하는 데 도움을 주었습니다. 미리 정의된 함수와 Neon의 기본 역할을 포함하는 crudPolicy 함수가 있는 특정 /neon 가져오기를 정의했습니다.

crudPolicy 함수를 사용하는 방법의 예는 다음과 같습니다:

import { crudPolicy } from 'drizzle-orm/neon';
import { integer, pgRole, pgTable } from 'drizzle-orm/pg-core';

export const admin = pgRole('admin');

export const users = pgTable('users', {
	id: integer(),
}, (t) => [
	crudPolicy({ role: admin, read: true, modify: false }),
]);

이 정책은 다음과 동일합니다:

import { sql } from 'drizzle-orm';
import { integer, pgPolicy, pgRole, pgTable } from 'drizzle-orm/pg-core';

export const admin = pgRole('admin');

export const users = pgTable('users', {
	id: integer(),
}, (t) => [
	pgPolicy(`crud-${admin.name}-policy-insert`, {
		for: 'insert',
		to: admin,
		withCheck: sql`false`,
	}),
	pgPolicy(`crud-${admin.name}-policy-update`, {
		for: 'update',
		to: admin,
		using: sql`false`,
		withCheck: sql`false`,
	}),
	pgPolicy(`crud-${admin.name}-policy-delete`, {
		for: 'delete',
		to: admin,
		using: sql`false`,
	}),
	pgPolicy(`crud-${admin.name}-policy-select`, {
		for: 'select',
		to: admin,
		using: sql`true`,
	}),
]);

Neon은 미리 정의된 authenticated 및 anaonymous 역할과 관련 함수를 노출합니다. RLS에 Neon을 사용하는 경우 기존으로 표시된 이러한 역할과 RLS 쿼리의 관련 함수를 사용할 수 있습니다.

// drizzle-orm/neon
export const authenticatedRole = pgRole('authenticated').existing();
export const anonymousRole = pgRole('anonymous').existing();

export const authUid = (userIdColumn: AnyPgColumn) => sql`(select auth.user_id() = ${userIdColumn})`;

export const neonIdentitySchema = pgSchema('neon_identity');

export const usersSync = neonIdentitySchema.table('users_sync', {
  rawJson: jsonb('raw_json').notNull(),
  id: text().primaryKey().notNull(),
  name: text(),
  email: text(),
  createdAt: timestamp('created_at', { withTimezone: true, mode: 'string' }),
  deletedAt: timestamp('deleted_at', { withTimezone: true, mode: 'string' }),
});

예를 들어 Neon 미리 정의된 역할 및 함수를 다음과 같이 사용할 수 있습니다:

import { sql } from 'drizzle-orm';
import { authenticatedRole } from 'drizzle-orm/neon';
import { integer, pgPolicy, pgRole, pgTable } from 'drizzle-orm/pg-core';

export const admin = pgRole('admin');

export const users = pgTable('users', {
	id: integer(),
}, (t) => [
	pgPolicy(`policy-insert`, {
		for: 'insert',
		to: authenticatedRole,
		withCheck: sql`false`,
	}),
]);

Supabase와 함께 사용하기

또한 스키마에서 사용할 수 있는 기존으로 표시된 미리 정의된 역할 세트가 있는 /supabase 가져오기도 있습니다. 이 가져오기는 향후 릴리스에서 RLS 및 Supabase 사용을 더 간단하게 만드는 더 많은 함수와 헬퍼로 확장될 예정입니다.

// drizzle-orm/supabase
export const anonRole = pgRole('anon').existing();
export const authenticatedRole = pgRole('authenticated').existing();
export const serviceRole = pgRole('service_role').existing();
export const postgresRole = pgRole('postgres_role').existing();
export const supabaseAuthAdminRole = pgRole('supabase_auth_admin').existing();

예를 들어 Supabase 미리 정의된 역할을 다음과 같이 사용할 수 있습니다:

import { sql } from 'drizzle-orm';
import { serviceRole } from 'drizzle-orm/supabase';
import { integer, pgPolicy, pgRole, pgTable } from 'drizzle-orm/pg-core';

export const admin = pgRole('admin');

export const users = pgTable('users', {
	id: integer(),
}, (t) => [
	pgPolicy(`policy-insert`, {
		for: 'insert',
		to: serviceRole,
		withCheck: sql`false`,
	}),
]);

/supabase 가져오기에는 애플리케이션에서 사용할 수 있는 미리 정의된 테이블 및 함수도 포함됩니다.

// drizzle-orm/supabase

const auth = pgSchema('auth');
export const authUsers = auth.table('users', {
	id: uuid().primaryKey().notNull(),
});

const realtime = pgSchema('realtime');
export const realtimeMessages = realtime.table(
	'messages',
	{
		id: bigserial({ mode: 'bigint' }).primaryKey(),
		topic: text().notNull(),
		extension: text({
			enum: ['presence', 'broadcast', 'postgres_changes'],
		}).notNull(),
	},
);

export const authUid = sql`(select auth.uid())`;
export const realtimeTopic = sql`realtime.topic()`;

이를 코드에서 사용할 수 있으며 Drizzle Kit는 이를 기존 데이터베이스로 취급하여 다른 엔터티에 연결하기 위한 정보로만 사용합니다.

import { foreignKey, pgPolicy, pgTable, text, uuid } from "drizzle-orm/pg-core";
import { sql } from "drizzle-orm/sql";
import { authenticatedRole, authUsers } from "drizzle-orm/supabase";

export const profiles = pgTable(
  "profiles",
  {
    id: uuid().primaryKey().notNull(),
    email: text().notNull(),
  },
  (table) => [
    foreignKey({
      columns: [table.id],
	  // Supabase의 auth 테이블 참조
      foreignColumns: [authUsers.id],
      name: "profiles_id_fk",
    }).onDelete("cascade"),
    pgPolicy("authenticated can view all profiles", {
      for: "select",
	  // Supabase의 미리 정의된 역할 사용
      to: authenticatedRole,
      using: sql`true`,
    }),
  ]
);

Supabase에 존재하는 테이블에 정책을 추가하는 예제를 확인해 보겠습니다.

import { sql } from "drizzle-orm";
import { pgPolicy } from "drizzle-orm/pg-core";
import { authenticatedRole, realtimeMessages } from "drizzle-orm/supabase";

export const policy = pgPolicy("authenticated role insert policy", {
  for: "insert",
  to: authenticatedRole,
  using: sql``,
}).link(realtimeMessages);

또한 Drizzle RLS를 Supabase와 함께 사용하는 방법과 실제 쿼리를 만드는 방법을 보여주는 훌륭한 예제가 있습니다. 또한 Supabase와의 모든 트랜잭션 작업을 처리할 수 있는 훌륭한 래퍼인 createDrizzle도 포함되어 있습니다. 향후 릴리스에서는 drizzle-orm/supabase로 이동되어 기본적으로 사용할 수 있게 됩니다.

Drizzle SupaSecureSlack repo를 확인하세요.

다음은 이 저장소의 구현 예제입니다.

type SupabaseToken = {
  iss?: string;
  sub?: string;
  aud?: string[] | string;
  exp?: number;
  nbf?: number;
  iat?: number;
  jti?: string;
  role?: string;
};

export function createDrizzle(token: SupabaseToken, { admin, client }: { admin: PgDatabase<any>; client: PgDatabase<any> }) {
  return {
    admin,
    rls: (async (transaction, ...rest) => {
      return await client.transaction(async (tx) => {
        // Supabase는 auth.uid() 및 auth.jwt()를 노출합니다
        // https://supabase.com/docs/guides/database/postgres/row-level-security#helper-functions
        try {
          await tx.execute(sql`
          -- auth.jwt()
          select set_config('request.jwt.claims', '${sql.raw(
            JSON.stringify(token)
          )}', TRUE);
          -- auth.uid()
          select set_config('request.jwt.claim.sub', '${sql.raw(
            token.sub ?? ""
          )}', TRUE);
          -- set local role
          set local role ${sql.raw(token.role ?? "anon")};
          `);
          return await transaction(tx);
        } finally {
          await tx.execute(sql`
            -- reset
            select set_config('request.jwt.claims', NULL, TRUE);
            select set_config('request.jwt.claim.sub', NULL, TRUE);
            reset role;
            `);
        }
      }, ...rest);
    }) as typeof client.transaction,
  };
}

다음과 같이 사용할 수 있습니다.

// https://github.com/orgs/supabase/discussions/23224
// 서명된 액세스 토큰을 사용하고 스토리지에서 직접 읽은 데이터를 사용하지 않으므로 안전해야 합니다
export async function createDrizzleSupabaseClient() {
  const {
    data: { session },
  } = await createClient().auth.getSession();
  return createDrizzle(decode(session?.access_token ?? ""), { admin, client });
}

async function getRooms() {
  const db = await createDrizzleSupabaseClient();
  return db.rls((tx) => tx.select().from(rooms));
}