Role-Based Access Control (RBAC) in Next.js?

Ich arbeite an der Implementierung einer Role-Based Access Control (RBAC) für meine API basierend auf Next.Js und möchte sicherstellen, dass ich die Best Practices für effiziente Datenbankabfragen einhalte. Meine Anwendung verwendet Next.js zusammen mit einer Backend-Datenbank ORM (drizzle-orm), um Benutzerrollen und Berechtigungen zu verwalten.

CREATE TABLE Users (
    user_id SERIAL PRIMARY KEY,
    username VARCHAR(255) UNIQUE NOT NULL,
    email VARCHAR(255) UNIQUE NOT NULL,
    password_hash VARCHAR(255) NOT NULL,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

CREATE TABLE Roles (
    role_id SERIAL PRIMARY KEY,
    role_name VARCHAR(50) UNIQUE NOT NULL
);

CREATE TABLE UserRoles (
    user_id INT REFERENCES Users(user_id),
    role_id INT REFERENCES Roles(role_id),
    PRIMARY KEY (user_id, role_id)
);

CREATE TABLE Permissions (
    permission_id SERIAL PRIMARY KEY,
    permission_name VARCHAR(50) UNIQUE NOT NULL
);

CREATE TABLE RolePermissions (
    role_id INT REFERENCES Roles(role_id),
    permission_id INT REFERENCES Permissions(permission_id),
    PRIMARY KEY (role_id, permission_id)
);

CREATE TABLE Sessions (
    session_id UUID PRIMARY KEY,
    user_id INT REFERENCES Users(user_id),
    valid_until TIMESTAMP,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

Derzeit werden bei jeder Anfrage die einem Benutzer zugewiesenen Rollen und Berechtigungen aus der Datenbank abgerufen, um die Zugriffsebene zu bestimmen. Ich bin jedoch besorgt über die potenziellen Auswirkungen dieses Ansatzes auf die Leistung, insbesondere wenn die Anwendung skaliert.

Was sind die besten Praktiken für die Implementierung von RBAC in Next.js bei gleichzeitiger Minimierung der Anzahl von Datenbankabfragen? Insbesondere interessiere ich mich für Strategien zur Zwischenspeicherung von Rollen- und Berechtigungsdaten, zur Optimierung der Token-basierten Autorisierung und zum Umgang mit dem Ablauf und der Ungültigkeit von Caches

1 Antwort

EchoTech

17.05.2024, 10:54

deine Abfragen sind ja jetzt nicht wirklich groß, schau dir mal an wie viele Abfragen beispielsweise bei einem statistikprogramm, erp programm,... gemacht werden. In dem Fall werden die meisten Daten durch Prozeduren abgefragt, damit man nicht wegen jeder kleinigkeit, wenn zum beispiel nur der Name gefragt wird eine neue Abfrage abschicken muss. Das ist einfach nicht effizient und würde bei mehreren Abfragen auf einmal dann irgendwann den temporären Speicher füllen.

Für solche kleinen Abfragen wie du zum beispiel, kannst du auch einfach Token verwenden, zum beispiel JSON Web Tokens, da kannst du kleinere Daten in einer json Datei Abfragen und ändern. Das geht viel schneller und spart Platz in der Datenbank. Wenn du aber auch Daten aus der DB abfägst würde ich immer JOINS verwenden zur Abfrage, um in einer Abfrage alle benötigten Informationen zu laden. Ist besser als alles einzeln Abzufragen, bei großen Daten würde das sonst die Datenbank irgendwann überlasten.

für dein vorhaben ist also eine Kombination von JWT für die Token-basierte Autorisierung, Caching (z.B. mit Redis), effiziente Datenbankabfragen und eine saubere Invalidierung des Caches bei Änderungen von Vorteil, so hast du kaum Abfragen und so gut wie keine Datenbanklast

AppDev04

Fragesteller

17.05.2024, 17:20

Vielen Dank für dein Feedback. Ich werde wahrscheinlich die Rollen in einem JWT AccessToken speichern und dann nur EINE DB starten, die dann alle mit der Rolle verbundenen Berechtigungen laden wird.

Wie kann ich den folgenden Befehl in den phpmyadmin Bereich einfügen, dass die Datenbank dann angelegt wird?

CREATE TABLE `login` (
`ID` INT( 255 ) NOT NULL AUTO_INCREMENT PRIMARY KEY ,
`Benutzername` VARCHAR( 255 ) NOT NULL ,
`Passwort` VARCHAR( 255 ) NOT NULL
) ENGINE = MYISAM ;

Oder:

CREATE TABLE `login` (`ID` INT( 255 ) NOT NULL AUTO_INCREMENT PRIMARY KEY ,`Benutzername` VARCHAR( 255 ) NOT NULL ,`Passwort` VARCHAR( 255 ) NOT NULL) ENGINE = MYISAM ;

...zur Frage

Wie kann ich eine N:M-Beziehung in SQL darstellen?

Hallo GuteFrage Team,

ich arbeite gerade just-for-fun an einer Datenbank zwischen Autoren und Büchern. Daraus würde ich gerne in SQL eine n:m-Beziehung gestalten.

So sieht meine Büchertabelle aus:

create table Buecher(
  buecher_id int PRIMARY KEY,
  Name Varchar(20),
  Seitenanzahl int,
  Genre Varchar(20)
);

und so meine Tabelle für den Autor

create table Autor(
  autor_id int PRIMARY KEY,
  Vorname Varchar(20),
  Nachname Varchar(20)
);

Ich wäre sehr dankbar, wenn mir jemand aufschreibt, wie man da die n:m-Tabelle aufzeigt. Dann kann ich das als Vorlage nehmen und mir selbst noch einmal verinnerlichen.

MfG

Andreas

...zur Frage

Datenbank PostgreSQL Python?

Hallo,

Ich bin gerade dabei eine Datenbank mittels Python Skript aufzufüllen. Dabei bin ich nun auf ein Problem gestoßen: Wie geht man vor wenn zwei Tabellen voneinander durch Foreign Keys abhängen? Muss ich diese Tabellen dann trotzdem noch separat füllen oder sollten die sich automatisch füllen? Wenn zweiteres, dann mach ich was falsch xD

Beispiel:

CREATE TABLE Minimalbeispiel(
  Eintrag1 INT REFERENCES Andere_Tabelle,
  Eintrag2 INT REFERENCES Andere_Tabelle2,
  PRIMARY KEY(Eintrag1, Eintrag2)

Ich habe bereits "Andere_Tabelle" und "Andere_Tabelle2" komplett befüllt. Die Tabelle Minimalbeispiel ist aber noch leer. Ist dies normal? Und muss ich hier nun auch wieder die Daten aus den CSV Files hineinfüllen oder muss man bei solchen Fremdkey Tabellen anders vorgehen?

...zur Frage

Datenbank in SQL insert into?

Ich möchte in meine schon bereits erstelle Datenbank mit dem Befehl "insert into" Datensätze einfügen. Zum Beispiel habe ich die Tabelle 1 mit dem Namen "Spieleabend". Für diese Tabelle habe ich die Spalten bzw. die Attribute Spieleabend-ID, Name, Ort, Datum, Uhrzeit und Dresscode. Die Datentypen für die Attribute sind für ID "int", Name, Ort, Dresscode "Varchar", für Datum "datetime" und für Uhrzeit "timestamp".

Jetzt möchte ich in diese Tabellen auch Datensätze hinzufügen und das funktioniert mit dem Befehl "insert into". Demnach habe ich alle Spalten aufgelistet -> insert into Spieleabend(SpieleabendID, Name, Ort, Datum, Uhrzeit, Dresscode) und danach mit value (1, "CozyLife", "Adresse", "24.12.2022", "19:30", NULL) die Werte ergänzt.

Aber die Konsole gibt mir aus ERROR Code: 1292. Incorrect datetime value: "19:30" for column "Uhrzeit" at row 1.

Ich weiß das man int einfach in Zahlen angeben kann und varchar in Gänzefüßchen setzen muss, aber wie gebe ich die Datentypen datetime und timestamp aus? Was muss ich da beachten?

...zur Frage

SQL Tabelle "Bestellung" - eine Bestellung mit mehreren Produkten, wie schreiben?

Ich möchte eine Tabelle Bestellung erstellen in der ein Kunde mehrere Produkte bestellen kann, dh es gibt eine Bestell-Nr hinter der liegen ein oder mehrere Produkte. Wie kann ich das schreiben in SQL?

So könnte der Kunde nur ein Produkt kaufen:

CREATE TABLE Bestellung {

Bestell-Nr INT PRIMARY KEY NOT NULL AUTO_INCREMENT,

Produkt-Nr INT,

Anzahl INT(2) NOT NULL,

Bestelldatum DATE,

Empfangsdatum DATE,

FOREIGN KEY (Produkt-Nr)

REFERENCES Produkt(Produkt-Nr)

);

...zur Frage

Datenbanken sql unterschiedliche Schreibweise?

die Schreibweise die ich kenne ist

create database abc;

create table abc1. (
id int primary Key,

abc1 varchar(45),

abc2 varchar(100),

abc3 datetime Not null

);

aund dann gibt es noch die andere Variante die irgendwie z.B. einen Schlüssel erst ans Ende der Tabelle schreibt. Oder die Datentypen allgemein seperat auflistet statt direkt dahinter. Ich hab leider kein Beispiel dafür, da ich nicht weiß wie diese Schreibweise bedeutet aber das sind Codes um eine Datenbank zu erstellen.

...zur Frage

booleans in MySQL?

Hey,

Ich bin Anfänger mit MySQL und habe scon Strings und integer genutzt.

Aber wie verwende ich booleans?

Main.mysql.update("INSERT INTO Boots(KILLS, DEATHS) VALUES (''0', '0');");

mysql.update("CREATE TABLE IF NOT EXISTS Boots(KILLS int, DEATHS int);");

Wie verwende ich hier booleans und wie frage ich sie dann ab, bzw setze sie(true/false)?

...zur Frage

Fremdschlüssel funktionieren nicht in MySQL?

Ich habe eine Datenbank mit mehreren Tabellen unter anderem die Tabelle 1 mit "Spiele" und Tabelle 2 mit "Genre". In der Tabelle Genre habe ich die Attribute bzw. Spalten GenreID als Primärschlüssel, das Genre und einen Fremdschlüssel "SID" was für Spiele-ID steht. Ich möchte nun diese "SID" mit dem "SID" in der Tabelle Spieleid referenzieren also gebe ich ein

"ALTER TABLE Genre

ADD foreign Key(SID) REFERENCES Spiele(SID)"

Die Konsole gibt mir aus "Error Code 3734. Failed to add the foreign key constraint. Missing column "SID" for constraint 'Genre_ibfk_1" in the referenced table "Spiele".

Ich verstehe diesen Fehlercode nicht. Was ich daraus verstehe ist das es angeblich das Attribut "SID" in der Tabelle "Spiele" nicht geben soll. Das stimmt aber nicht, denn ich sehe ja das dieses Attribut vorhanden ist.

...zur Frage

SQL - Zusammengesetzter Primary-Key > nur mit bestimmten Wert UNIQUE?

Ich bin auf der Suche nach einer Idee um folgendes zu realisieren:

Es gibt 2 Tabellen...

Tabelle1: Artikel
ArtID (PK), ArtName, KatID (FK)

Tabelle2: Artikel_Kategorie
KatID (PK), KatName, Status

In Tabelle1 sind Artikel abgelegt welche die Zuordnung zu einer Artikel-Kategorie auf Tabelle2 besitzen. Die KatID in alphanummerisch mit 3 Stellen (Bsp: HN9).

Wenn diese Kategorie in Tabelle2 irgendwann nicht mehr benötigt wird will ich diese in einer Spalte Status auf "inaktiv" setzen um (wie in dem Falle hier: HN9) nochmal neu vergeben zu können.

Ich möchte quasi einen COMPOSITE PRIMARY KEY erstellen, der aber nur UNIQUE ist, wenn der Status "aktiv" ist.

Jemand eine Idee?

...zur Frage

Zusammengesetzter Fremdschlüssel

ich habe eine tabelle mitarbeiter mit einem zusammengesetzten primärschlüssel: create table mitarbeiter(... primary key(mitarbeiterid, projektid)), jetzt will ich eine Tabelle Proj.MA machen mit dem Primary Key als Foreign Key. Wie geht das?

...zur Frage

Ist der Primary Key bei MySQL ein Muss oder nur ein Kann?

Hallo! Bei MySQL gibt es ja verschiedene Indexierungs-Arten (Primary, Unique, Index). Ich verwende keinen numerischen Index, daher habe ich auch kein auto-increment. Bei kleineren Datenbanken habe ich festgestellt, dass es hierbei keinen Unterschied macht, welchen Index ich verwende, alle Abfragen sind gleich schnell. Was bringen die unterschiedlichen Indexierungen überhaupt und wirkt sich der Unterschied auf große Datenbanken aus? Danke! Flashbaer

...zur Frage

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zur Frage

MYSQL - phpmyadmin?

Fehlermeldung: #1064 - Fehler in der SQL-Syntax. Bitte die korrekte Syntax im Handbuch nachschlagen bei ') NOT NULL ) ENGINE = InnoDB' in Zeile 1

CREATE TABLE `db_user`.`shop` (`productid` INT(8) NOT NULL , `name` VARCHAR(32) NOT NULL , `producer` VARCHAR(32) NOT NULL , `stock` INT(8) NOT NULL , `price` DOUBLE(8) NOT NULL ) ENGINE = InnoDB;

...zur Frage

SQL Syntax Fehler CREATE TABLE, VARCHAR?

Weiß jemand was hier falsch ist?

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen