Mikro-ORM 中实现 PostgreSQL 行级安全(RLS)的实践指南

背景介绍

PostgreSQL 的行级安全(Row Level Security, RLS)是一种强大的数据访问控制机制，它允许开发者在数据库层面实现细粒度的权限控制。在多租户应用中，RLS 可以确保每个租户只能访问自己的数据，而不会意外看到其他租户的信息。

技术挑战

在使用 Mikro-ORM 这样的 ORM 框架时，实现 RLS 面临的主要挑战是如何在每次数据库操作前正确设置会话级别的配置参数。由于 ORM 抽象了底层的连接管理，我们需要找到合适的方式来注入这些配置。

解决方案探索

1. 直接连接控制方案

通过获取显式连接并执行 SQL 命令来设置参数是最直接的方式：

const conn = this.em.getConnection();
await conn.execute("SELECT set_config('app.bypass_rls', 'off', FALSE)");
await conn.execute(`SELECT set_config('app.current_tenant', '${tenantId}', FALSE)`);
await conn.execute(`SELECT * from rls_protected_table`);

这种方式的缺点是需要在每个操作前手动设置参数，容易遗漏且维护成本高。

2. 连接池拦截方案

更优雅的解决方案是利用连接池的生命周期钩子。Mikro-ORM 底层使用 Knex.js 和 Tarn.js 管理连接池，我们可以通过以下方式拦截连接：

// 初始化 Mikro-ORM 时配置
const orm = await MikroORM.init({
  // ...其他配置
  driverOptions: {
    connection: {
      afterCreate: async (conn, done) => {
        await conn.query(`SELECT set_config('app.current_tenant', '${currentTenant}', FALSE)`);
        done(null, conn);
      }
    }
  }
});

这种方式确保了每次从连接池获取连接时都会自动设置正确的租户ID。

3. 请求上下文感知方案

对于 Web 应用，最佳实践是将租户信息与请求上下文绑定：

// 中间件示例
app.use(async (req, res, next) => {
  const tenantId = extractTenantFromRequest(req);
  
  // 为当前请求创建专用的 ORM 实例
  req.orm = await createOrmForTenant(tenantId);
  
  next();
});

async function createOrmForTenant(tenantId: string) {
  return MikroORM.init({
    // ...基础配置
    driverOptions: {
      connection: {
        afterCreate: async (conn, done) => {
          await conn.query(`SELECT set_config('app.current_tenant', '${tenantId}', FALSE)`);
          done(null, conn);
        }
      }
    }
  });
}

性能考量

虽然为每个请求创建新的 ORM 实例听起来开销很大，但实际上：

1. 连接池是共享的，不会为每个实例创建新池
2. ORM 实例本身的创建成本很低
3. 这种设计确保了完美的隔离性

最佳实践建议

1. 统一参数管理：将所有的 RLS 相关参数集中管理，避免散落在代码各处
2. 错误处理：确保在连接失败时能正确处理回退逻辑
3. 测试验证：编写专门的测试用例验证 RLS 是否按预期工作
4. 性能监控：监控 RLS 对查询性能的影响

总结

在 Mikro-ORM 中实现 PostgreSQL RLS 需要理解 ORM 的连接管理机制。通过合理利用连接池钩子和请求上下文，我们可以构建出既安全又高效的多租户应用架构。关键在于找到抽象与控制的平衡点，既享受 ORM 的便利，又不失去数据库层面的安全控制能力。