https://blog.cpdd.fyi/tags/rls/Recent content in RLS on Zampo BlogHugozh-cnFri, 17 Apr 2026 09:33:20 +0800https://blog.cpdd.fyi/posts/postgresql-last-permission-check/Fri, 17 Apr 2026 09:33:20 +0800https://blog.cpdd.fyi/posts/postgresql-last-permission-check/<p><img src="https://blog.cpdd.fyi/images/postgresql-last-permission-check/cover.svg" alt="PostgreSQL 最后一道权限判断示意图"></p> <p>我越来越觉得，很多团队的安全问题，不是前面没做，而是最后收得不够。</p> <p>浏览器有隔离，接口有鉴权，服务上了 HTTPS，机器放在内网里，日志和审计也配了。可等请求真的落到 PostgreSQL，后端连过去的，还是一个几乎什么都能做的高权限角色。</p> <p>前面一层一层都像样，最后这一跳却像没上锁。</p> <p>这也是我最近看 PostgreSQL 安全这条视频时，最有感触的一点：PostgreSQL 真正厉害的，不是它默认很安全，也不只是它功能多，而是它把最后一道权限判断留在了数据库里。</p>