Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Go×RLSで複数テナントのデータを安全に扱う/secure-data-access-with...

Avatar for Sh0He1666 Sh0He1666
October 02, 2023
Programming
0
980

 Go×RLSで複数テナントのデータを安全に扱う/secure-data-access-with-go-rls-in-multi-tenant-environment

Avatar for Sh0He1666

Sh0He1666

October 02, 2023
Tweet

More Decks by Sh0He1666

See All by Sh0He1666
ログ調査で分からなかった原因が、New Relicのトランザクションで一瞬で解決した話
Avatar for Sh0He1666 sh0he1666
0
15

Other Decks in Programming

See All in Programming
20251127_ぼっちのための懇親会対策会議
Avatar for kokamoto01 kokamoto01_metaps
2
440
リリース時」テストから「デイリー実行」へ!開発マネージャが取り組んだ、レガシー自動テストのモダン化戦略
Avatar for goataka (GOAMI Takaaki) goataka
0
130
Giselleで作るAI QAアシスタント 〜 Pull Requestレビューに継続的QAを
Avatar for Tadashi Shigeoka codenote
0
230
20251212 AI 時代的 Legacy Code 營救術 2025 WebConf
Avatar for mouson(墨嗓) mouson
0
180
Cap'n Webについて
Avatar for Yusuke Wada yusukebe
0
140
Claude Codeの「Compacting Conversation」を体感50%減! CLAUDE.md + 8 Skills で挑むコンテキスト管理術
Avatar for Kazuki Murahama kmurahama
0
330
AIコーディングエージェント(Manus)
Avatar for kondai kondai24
0
190
AIコーディングエージェント(skywork)
Avatar for kondai kondai24
0
180
C-Shared Buildで突破するAI Agent バックテストの壁
Avatar for po3rin po3rin
0
390
複数人でのCLI/Infrastructure as Codeの暮らしを良くする
Avatar for Shoma Okamoto shmokmt
5
2.3k
【CA.ai #3】ワークフローから見直すAIエージェント — 必要な場面と“選ばない”判断
Avatar for SatoAoaka satoaoaka
0
260
tparseでgo testの出力を見やすくする
Avatar for utagawa kiki utgwkk
2
240

Featured

See All Featured
Done Done
Avatar for chrislema chrislema
186
16k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.6k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.7k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.4k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
Docker and Python
Avatar for Tania Allard trallard
47
3.7k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.7k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
186
22k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.9k

Transcript

  1. Go×RLSで複数テナントのデータを安全に扱う 2023/09/28 golang.Tokyo#33 スプリームシステム株式会社 プロダクトディベロップメント部 徳丸 翔平

  2. 自己紹介 • 徳丸 翔平(@shohei36) • 普段の業務では主にJavaやGoを使ってバックエンド開発をやってます • Go歴はもう少しで1年といったところ • 低レイヤーに興味あり

  3. モノリスからマイクロサービスへ https://acropolium.com/blog/migrating-monolith-to-microservices/

  4. マルチテナントのデータベース戦略 https://medium.com/one9-tech/which-database-structure-to- use-in-multi-tenant-application-6f1b9af09634

  5. マルチテナントのデータベース戦略 https://medium.com/one9-tech/which-database-structure-to- use-in-multi-tenant-application-6f1b9af09634

  6. データベース の Row-Level Security(RLS)機能 データの読み込み時にテーブルの行レベルでアクセスを制御するデータベースの機能 テナントID ID NAME tenant01 1000

    Bob tenant02 1000 Alice tenant03 1000 Taro tenant03 1000 Hanako SELECT ID, NAME FROM SOME_TABLE WHERE ID = ‘1000’ 「tenant02」が接続

  7. プログラム側も工夫が必要… 🤔 RLSが効いたコネクションを正しく制御するには? 🤔 DBに依存せずにトランザクションをどのように表現するか? 🤔 テナント追加時の作業をゼロにしたい、、

  8. プログラム設計方針 以下のアプローチによって実現 • データベースセッションの環境変数にセットしたテナントIDでアク セス権を制御 • Context 経由で sql.Tx を

    リポジトリ にパスする

  9. プログラム設計方針 以下のアプローチによって実現 • データベースセッションの環境変数にセットしたテナントIDでアク セス権を制御 • Context 経由で sql.Tx を

    リポジトリ にパスする こちらのサンプルコードを使用して説明します https://github.com/shohei36/go-rls

  10. 環境 • WSL2 Ubuntu 20.04 on Windows • PostgreSQL 13.2

    • Go 1.20

  11. サンプルコードの構成 // アプリケーション固有のビジネスルール // トランザクション // DBなど外部システムとのアダプター // ドメインモデル //

    Main関数(controllerも兼ねる) ※サンプルコードの構成 Clean Architecture

  12. 例)会員情報を更新するユースケース

  13. 登場人物

  14. DoInTxを実行 usecase.go

  15. sql.DB からコネクション(sql.Conn)を取得 transaction.go db.go

  16. DBセッションの環境変数にテナントIDをセット db.go

  17. 補足:テーブルにRLSを適用するDDL pgsql/init/001_ddl.sql

  18. sql.DBのコネクションはスレッドセーフ sql.DB の仕組み https://please-sleep.cou929.nu/go-sql-db-connection-pool.html 公式ドキュメント https://pkg.go.dev/database/sql#DB

  19. トランザクション(sql.Tx)開始 transaction.go DoInTx

  20. Context に sql.Tx をセット transaction.go DoInTx Sql.Tx を取り出すときに使うKey

  21. トランザクション内の処理を実行 transaction.go DoInTx usecase.go

  22. リポジトリのUpdateメソッドをCall usecase.go

  23. DoInTx内でContextにセットしたsql.Txを取得 transaction.go repository.go

  24. Update文を発行 repository.go ※RLSが効いているので、SQLのWhereの条件にtenant_idは不要

  25. トランザクションをコミット transaction.go DoInTx

  26. コネクションをsql.DBに返却 transaction.go DoInTx https://pkg.go.dev/database/sql#Conn.Close

  27. まとめ • Context経由でsql.Txを渡すことで、DBに依存しない形でユースケースで トランザクションの定義が可能に • 参考:https://qiita.com/arkuchy/items/659a11767912c2ec266d • データベースセッションの環境変数にセットしたテナントIDでアクセス権 を制御 •

    テナントのロールを追加する必要がなく、基本的にはテナント追加時の作業が不要 • sql.DBで管理するコネクションがスレッドセーフ • (感想)Goはマイクロサービス向きの言語であることを実感

  28. Thank you for listening!