Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Go×RLSで複数テナントのデータを安全に扱う/secure-data-access-with...

Avatar for Sh0He1666 Sh0He1666
October 02, 2023
Programming
0
930

 Go×RLSで複数テナントのデータを安全に扱う/secure-data-access-with-go-rls-in-multi-tenant-environment

Avatar for Sh0He1666

Sh0He1666

October 02, 2023
Tweet

More Decks by Sh0He1666

See All by Sh0He1666
ログ調査で分からなかった原因が、New Relicのトランザクションで一瞬で解決した話
Avatar for Sh0He1666 sh0he1666
0
9

Other Decks in Programming

See All in Programming
OSS開発者という働き方
Avatar for ANDPAD inc andpad
5
1.7k
CJK and Unicode From a PHP Committer
Avatar for てきめん tekimen youkidearitai
PRO
0
110
Android 16 × Jetpack Composeで縦書きテキストエディタを作ろう / Vertical Text Editor with Compose on Android 16
Avatar for cc4966 cc4966
2
260
FindyにおけるTakumi活用と脆弱性管理のこれから
Avatar for adachi.ryo rvirus0817
0
540
アルテニア コンサル/ITエンジニア向け 採用ピッチ資料
Avatar for ALTENIR altenir
0
110
Laravel Boost 超入門
Avatar for Arlo fire_arlo
3
220
AI Coding Agentのセキュリティリスク:PRの自己承認とメルカリの対策
Avatar for さうす s3h
0
230
Rancher と Terraform
Avatar for Ryoma Fujiwara fufuhu
2
550
Swift Updates - Learn Languages 2025
Avatar for Yuta Koshizawa koher
2
510
HTMLの品質ってなんだっけ? “HTMLクライテリア”の設計と実践
Avatar for una unachang113
4
2.9k
Oracle Database Technology Night 92 Database Connection control FAN-AC
Avatar for oracle4engineer oracle4engineer
PRO
1
470
テストコードはもう書かない:JetBrains AI Assistantに委ねる非同期処理のテスト自動設計・生成
Avatar for makun makun
0
520

Featured

See All Featured
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
358
30k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
3
620
KATA
Avatar for Megan Lloyd mclloyd
32
14k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1.1k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
236
140k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
368
19k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
70
4.8k
Navigating Team Friction
Avatar for Lara Hogan lara
189
15k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.5k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k

Transcript

  1. Go×RLSで複数テナントのデータを安全に扱う 2023/09/28 golang.Tokyo#33 スプリームシステム株式会社 プロダクトディベロップメント部 徳丸 翔平

  2. 自己紹介 • 徳丸 翔平(@shohei36) • 普段の業務では主にJavaやGoを使ってバックエンド開発をやってます • Go歴はもう少しで1年といったところ • 低レイヤーに興味あり

  3. モノリスからマイクロサービスへ https://acropolium.com/blog/migrating-monolith-to-microservices/

  4. マルチテナントのデータベース戦略 https://medium.com/one9-tech/which-database-structure-to- use-in-multi-tenant-application-6f1b9af09634

  5. マルチテナントのデータベース戦略 https://medium.com/one9-tech/which-database-structure-to- use-in-multi-tenant-application-6f1b9af09634

  6. データベース の Row-Level Security(RLS)機能 データの読み込み時にテーブルの行レベルでアクセスを制御するデータベースの機能 テナントID ID NAME tenant01 1000

    Bob tenant02 1000 Alice tenant03 1000 Taro tenant03 1000 Hanako SELECT ID, NAME FROM SOME_TABLE WHERE ID = ‘1000’ 「tenant02」が接続

  7. プログラム側も工夫が必要… 🤔 RLSが効いたコネクションを正しく制御するには? 🤔 DBに依存せずにトランザクションをどのように表現するか? 🤔 テナント追加時の作業をゼロにしたい、、

  8. プログラム設計方針 以下のアプローチによって実現 • データベースセッションの環境変数にセットしたテナントIDでアク セス権を制御 • Context 経由で sql.Tx を

    リポジトリ にパスする

  9. プログラム設計方針 以下のアプローチによって実現 • データベースセッションの環境変数にセットしたテナントIDでアク セス権を制御 • Context 経由で sql.Tx を

    リポジトリ にパスする こちらのサンプルコードを使用して説明します https://github.com/shohei36/go-rls

  10. 環境 • WSL2 Ubuntu 20.04 on Windows • PostgreSQL 13.2

    • Go 1.20

  11. サンプルコードの構成 // アプリケーション固有のビジネスルール // トランザクション // DBなど外部システムとのアダプター // ドメインモデル //

    Main関数(controllerも兼ねる) ※サンプルコードの構成 Clean Architecture

  12. 例)会員情報を更新するユースケース

  13. 登場人物

  14. DoInTxを実行 usecase.go

  15. sql.DB からコネクション(sql.Conn)を取得 transaction.go db.go

  16. DBセッションの環境変数にテナントIDをセット db.go

  17. 補足:テーブルにRLSを適用するDDL pgsql/init/001_ddl.sql

  18. sql.DBのコネクションはスレッドセーフ sql.DB の仕組み https://please-sleep.cou929.nu/go-sql-db-connection-pool.html 公式ドキュメント https://pkg.go.dev/database/sql#DB

  19. トランザクション(sql.Tx)開始 transaction.go DoInTx

  20. Context に sql.Tx をセット transaction.go DoInTx Sql.Tx を取り出すときに使うKey

  21. トランザクション内の処理を実行 transaction.go DoInTx usecase.go

  22. リポジトリのUpdateメソッドをCall usecase.go

  23. DoInTx内でContextにセットしたsql.Txを取得 transaction.go repository.go

  24. Update文を発行 repository.go ※RLSが効いているので、SQLのWhereの条件にtenant_idは不要

  25. トランザクションをコミット transaction.go DoInTx

  26. コネクションをsql.DBに返却 transaction.go DoInTx https://pkg.go.dev/database/sql#Conn.Close

  27. まとめ • Context経由でsql.Txを渡すことで、DBに依存しない形でユースケースで トランザクションの定義が可能に • 参考:https://qiita.com/arkuchy/items/659a11767912c2ec266d • データベースセッションの環境変数にセットしたテナントIDでアクセス権 を制御 •

    テナントのロールを追加する必要がなく、基本的にはテナント追加時の作業が不要 • sql.DBで管理するコネクションがスレッドセーフ • (感想)Goはマイクロサービス向きの言語であることを実感

  28. Thank you for listening!