3.2 用户与权限管理

3.2 用户与权限管理

Neo4j 管理与运维：3.2 用户与权限管理详解

在图数据库 Neo4j 的管理与运维中，用户与权限管理是至关重要的环节。它直接关系到数据的安全性、完整性和系统的稳定运行。合理的权限控制能够确保只有授权用户才能访问和操作特定的数据资源，防止未经授权的访问、恶意破坏或数据泄露。对于企业级应用而言，用户与权限管理更是合规性、审计和安全策略落地的基础。

3.2.1 用户与权限管理概述

在 Neo4j 中，用户与权限管理的核心目标是控制用户对数据库资源的访问和操作。这包括但不限于：

• 身份验证 (Authentication)：验证用户的身份是否合法，即确认 “你是谁”。

• 授权 (Authorization)：验证用户是否有权限执行特定操作，即确认 “你能做什么”。

Neo4j 采用基于角色的访问控制 (Role-Based Access Control, RBAC) 模型，这是一种高效且灵活的权限管理方法。RBAC 的核心思想是将权限授予角色，然后将角色分配给用户。这样，权限管理就从直接管理用户权限转变为管理角色权限，大大简化了权限管理工作，并提高了可维护性。

RBAC 模型在 Neo4j 中的体现

在 Neo4j 中，RBAC 模型主要体现在以下几个方面：

• 用户 (User)：代表系统中的一个实体，可以是人或应用程序。用户需要通过身份验证才能访问 Neo4j 数据库。

• 角色 (Role)：是一组权限的集合。角色定义了可以执行的操作和可以访问的资源。例如，可以创建 “只读角色”、“数据分析师角色”、“管理员角色” 等。

• 权限 (Privilege)：定义了用户或角色可以执行的特定操作，例如读取节点、创建关系、执行事务、管理数据库等。

• 资源 (Resource)：用户或角色可以访问的对象，例如数据库、图、节点、关系、标签、属性等。

Graph TD 图示 RBAC 模型：

模型解释：

1. 用户 (User) 通过 用户角色分配 (UserRoleAssignment) 关联到 角色 (Role)。一个用户可以被分配多个角色。

2. 角色 (Role) 通过 角色权限分配 (RolePrivilegeAssignment) 关联到 权限 (Privilege)。一个角色可以拥有多个权限。

3. 权限 (Privilege) 作用于特定的 资源 (Resource)。

通过 RBAC 模型，管理员只需要管理角色和角色与权限的映射关系，以及用户与角色的分配关系，即可实现对用户权限的精细化管理。

3.2.2 Neo4j 中的权限体系详解

Neo4j 的权限体系非常细致，可以控制到数据库级别、图级别，甚至节点和关系的级别。理解 Neo4j 的权限体系是进行有效权限管理的基础。

3.2.2.1 权限类型

Neo4j 中的权限类型可以分为以下几个主要类别：

• 数据库级别权限 (Database-level Privileges)：控制对整个数据库实例的操作，例如启动/停止数据库、创建/删除数据库、管理用户和角色等。

• 图级别权限 (Graph-level Privileges)：控制对特定图的操作，例如读取图数据、写入图数据、创建索引、创建约束等。

• 节点和关系级别权限 (Node and Relationship-level Privileges)：控制对特定节点和关系的操作，例如读取节点属性、创建关系、删除节点等。

• 管理权限 (Admin Privileges)：最高级别的权限，拥有管理整个 Neo4j 实例的权力。

更细致的权限类型列表 (部分):

• 数据库操作权限:

  • START DATABASE

  • STOP DATABASE

  • CREATE DATABASE

  • DROP DATABASE

  • SHOW DATABASE

  • ALL DATABASES

• 用户和角色管理权限:

  • CREATE USER

  • DROP USER

  • ALTER USER

  • SHOW USER

  • CREATE ROLE

  • DROP ROLE

  • ALTER ROLE

  • SHOW ROLE

• 图数据操作权限:

  • MATCH (读取图数据)

  • CREATE (创建节点和关系)

  • DELETE (删除节点和关系)

  • SET (更新节点和关系属性)

  • REMOVE (删除节点和关系属性)

  • MERGE (合并节点和关系)

• 索引和约束管理权限:

  • CREATE INDEX

  • DROP INDEX

  • CREATE CONSTRAINT

  • DROP CONSTRAINT

  • SHOW INDEX

  • SHOW CONSTRAINT

• 事务管理权限:

  • TRANSACTION MANAGEMENT (控制事务的开始、提交和回滚)

• 过程 (Procedure) 和 函数 (Function) 执行权限:

  • EXECUTE PROCEDURE

  • EXECUTE FUNCTION

权限层次结构 Graph TD 图示：

层次结构解释：

• 管理权限 (AdminLevel) 是最高级别的权限，拥有所有其他级别的权限。拥有管理权限的用户可以执行任何操作。

• 数据库级别权限 (DatabaseLevel) 作用于整个数据库实例，例如创建数据库、管理用户等。

• 图级别权限 (GraphLevel) 作用于特定的图，例如读取图数据、创建索引等。

• 节点/关系级别权限 (NodeRelationshipLevel) 是最细粒度的权限，作用于特定的节点和关系，例如读取节点属性、创建关系等。

权限是分层级的，上层权限通常包含下层权限。例如，拥有数据库级别 "ALL DATABASES" 权限的用户，自然拥有访问所有数据库中图数据的权限。

3.2.2.2 资源类型

Neo4j 中的权限是针对特定资源进行控制的。常见的资源类型包括：

• 数据库 (Database)：例如 system 数据库 (用于系统管理)、默认数据库 neo4j 以及用户自定义的数据库。

• 图 (Graph)：在多图数据库中，每个数据库可以包含多个命名图 (Named Graph)。权限可以作用于特定的图。

• 节点标签 (Node Label)：可以针对具有特定标签的节点设置权限。

• 关系类型 (Relationship Type)：可以针对特定关系类型的关系设置权限。

• 属性键 (Property Key)：可以针对节点或关系的特定属性键设置权限。

• 过程 (Procedure)：可以控制用户是否有权限执行特定的过程。

• 函数 (Function)：可以控制用户是否有权限执行特定的函数。

3.2.2.3 默认角色

Neo4j 预定义了一些默认角色，方便用户快速进行权限配置：

• public 角色：所有用户默认拥有的角色。默认情况下，public 角色只拥有连接到数据库的权限 (CONNECT ACCESS)。

• admin 角色：拥有管理数据库实例的权限，例如创建/删除数据库、管理用户和角色等。

• administrator 角色 (在某些版本中)：与 admin 角色类似，拥有较高的管理权限。

用户可以根据需要创建自定义角色，并根据业务需求分配相应的权限。

3.2.3 用户与权限管理的代码实践

Neo4j 使用 Cypher 查询语言进行用户和权限管理。以下是一些常见的代码实践示例，以及详细的解释。

环境准备：

假设我们已经启动了一个 Neo4j 实例，并使用 neo4j-admin set-initial-password 命令设置了初始密码。我们可以使用 Neo4j Browser 或 Cypher Shell 等客户端工具连接到数据库进行操作。

以下所有操作都需要具有相应的权限才能执行，例如，创建用户和角色通常需要 admin 角色或更高权限。

3.2.3.1 用户管理

1. 创建用户：CREATE USER

CREATE USER user1 SET PASSWORD 'password' SET PASSWORD CHANGE REQUIRED TRUE;
​

代码解释：

• CREATE USER user1: 创建名为 user1 的用户。

• SET PASSWORD 'password': 设置用户的初始密码为 password。

• SET PASSWORD CHANGE REQUIRED TRUE: 强制用户在首次登录时修改密码，提高安全性。

2. 显示所有用户：SHOW USERS

SHOW USERS;
​

代码解释：

SHOW USERS 命令列出所有已创建的用户，包括用户名、角色信息等。

3. 修改用户密码：ALTER USER 和 SET PASSWORD

ALTER USER user1 SET PASSWORD 'new_password';
​

代码解释：

ALTER USER user1 用于修改用户 user1 的属性。SET PASSWORD 'new_password' 将用户 user1 的密码修改为 new_password。

4. 修改用户状态：ALTER USER 和 SET STATUS

ALTER USER user1 SET STATUS SUSPENDED; -- 暂停用户
ALTER USER user1 SET STATUS ACTIVE;    -- 激活用户
​

代码解释：

SET STATUS SUSPENDED 将用户状态设置为暂停，用户将无法登录。SET STATUS ACTIVE 将用户状态设置为激活，用户可以正常登录。

5. 删除用户：DROP USER

DROP USER user1;
​

代码解释：

DROP USER user1 删除用户 user1。注意：删除用户操作不可逆，请谨慎操作。

6. 设置密码过期策略：ALTER USER 和 SET PASSWORD EXPIRES

ALTER USER user1 SET PASSWORD EXPIRES IN '30 days'; -- 设置密码 30 天后过期
ALTER USER user1 SET PASSWORD EXPIRES NEVER;     -- 设置密码永不过期
​

代码解释：

SET PASSWORD EXPIRES IN '30 days' 设置用户 user1 的密码在 30 天后过期，过期后用户需要修改密码才能继续登录。SET PASSWORD EXPIRES NEVER 取消密码过期策略，密码永不过期。

3.2.3.2 角色管理

1. 创建角色：CREATE ROLE

CREATE ROLE readonly_role;
​

代码解释：

CREATE ROLE readonly_role 创建一个名为 readonly_role 的角色。

2. 显示所有角色：SHOW ROLES

SHOW ROLES;
​

代码解释：

SHOW ROLES 命令列出所有已创建的角色。

3. 删除角色：DROP ROLE

DROP ROLE readonly_role;
​

代码解释：

DROP ROLE readonly_role 删除角色 readonly_role。注意：删除角色操作不可逆，请谨慎操作。

3.2.3.3 权限授予与撤销

1. 授予权限：GRANT <privilege> ON <resource> TO <role/user>

GRANT READ ON DATABASE neo4j TO readonly_role; -- 授予 readonly_role 角色对 neo4j 数据库的 READ 权限
GRANT MATCH ON GRAPH neo4j TO readonly_role;   -- 授予 readonly_role 角色对 neo4j 图的 MATCH 权限 (读取数据)
GRANT TRAVERSE ON GRAPH neo4j TO readonly_role; -- 授予 readonly_role 角色对 neo4j 图的 TRAVERSE 权限 (遍历数据)
GRANT READ NODE PROPERTIES ON GRAPH neo4j TO readonly_role; -- 授予 readonly_role 角色对 neo4j 图的节点属性读取权限
GRANT CONNECT TO user1;                             -- 授予 user1 用户连接数据库的权限
GRANT READ ON DATABASE system TO admin;               -- 授予 admin 角色对 system 数据库的 READ 权限
​

代码解释：

• GRANT <privilege> ON <resource> TO <role/user> 是授权的基本语法。

• <privilege> 指定要授予的权限类型，例如 READ, WRITE, MATCH, CREATE, DELETE 等。

• <resource> 指定权限作用的资源，例如 DATABASE neo4j, GRAPH neo4j, NODE LABEL Person 等。

• <role/user> 指定权限授予的对象，可以是角色名或用户名。

2. 撤销权限：REVOKE <privilege> ON <resource> FROM <role/user>

REVOKE READ ON DATABASE neo4j FROM readonly_role; -- 撤销 readonly_role 角色对 neo4j 数据库的 READ 权限
REVOKE MATCH ON GRAPH neo4j FROM readonly_role;  -- 撤销 readonly_role 角色对 neo4j 图的 MATCH 权限
REVOKE CONNECT FROM user1;                            -- 撤销 user1 用户连接数据库的权限
​

代码解释：

• REVOKE <privilege> ON <resource> FROM <role/user> 是撤销授权的基本语法，与 GRANT 命令语法类似，只是将 TO 替换为 FROM。

3. 将角色分配给用户：GRANT ROLE <role> TO <user>

GRANT ROLE readonly_role TO user1; -- 将 readonly_role 角色分配给 user1 用户
​

代码解释：

GRANT ROLE readonly_role TO user1 将角色 readonly_role 分配给用户 user1。用户 user1 将拥有 readonly_role 角色所包含的所有权限。

4. 从用户撤销角色：REVOKE ROLE <role> FROM <user>

REVOKE ROLE readonly_role FROM user1; -- 从 user1 用户撤销 readonly_role 角色
​

代码解释：

REVOKE ROLE readonly_role FROM user1 从用户 user1 撤销角色 readonly_role。用户 user1 将不再拥有 readonly_role 角色所包含的权限。

5. 显示角色拥有的权限：SHOW PRIVILEGES ROLE <role>

SHOW PRIVILEGES ROLE readonly_role;
​

代码解释：

SHOW PRIVILEGES ROLE readonly_role 显示角色 readonly_role 当前拥有的所有权限。

6. 显示用户拥有的角色：SHOW ROLES USER <user>

SHOW ROLES USER user1;
​

代码解释：

SHOW ROLES USER user1 显示用户 user1 当前拥有的所有角色。

7. 显示用户的有效权限：SHOW PRIVILEGES USER <user>

SHOW PRIVILEGES USER user1;
​

代码解释：

SHOW PRIVILEGES USER user1 显示用户 user1 当前的有效权限，包括直接授予用户的权限以及通过角色继承的权限。

3.2.3.4 更细粒度的权限控制示例

以下是一些更细粒度权限控制的示例，展示如何针对特定的节点标签、关系类型和属性键进行权限管理。

1. 针对节点标签的权限控制：

GRANT READ NODE PROPERTIES ON GRAPH neo4j LABELS Person TO readonly_role; -- 授予 readonly_role 角色读取 neo4j 图中标签为 Person 的节点属性的权限
REVOKE READ NODE PROPERTIES ON GRAPH neo4j LABELS Person FROM readonly_role; -- 撤销权限
​

2. 针对关系类型的权限控制：

GRANT READ RELATIONSHIP PROPERTIES ON GRAPH neo4j RELATIONSHIP TYPE KNOWS TO readonly_role; -- 授予 readonly_role 角色读取 neo4j 图中关系类型为 KNOWS 的关系属性的权限
REVOKE READ RELATIONSHIP PROPERTIES ON GRAPH neo4j RELATIONSHIP TYPE KNOWS FROM readonly_role; -- 撤销权限
​

3. 针对属性键的权限控制：

GRANT READ NODE PROPERTIES ON GRAPH neo4j LABELS Person PROPERTY KEYS name, age TO readonly_role; -- 授予 readonly_role 角色读取 neo4j 图中标签为 Person 的节点属性中键为 name 和 age 的属性的权限
REVOKE READ NODE PROPERTIES ON GRAPH neo4j LABELS Person PROPERTY KEYS name, age FROM readonly_role; -- 撤销权限
​

4. 针对过程和函数的权限控制：

GRANT EXECUTE PROCEDURE dbms.security.createUser TO admin; -- 授予 admin 角色执行 dbms.security.createUser 过程的权限
GRANT EXECUTE FUNCTION toInteger TO readonly_role;        -- 授予 readonly_role 角色执行 toInteger 函数的权限
REVOKE EXECUTE PROCEDURE dbms.security.createUser FROM admin; -- 撤销权限
REVOKE EXECUTE FUNCTION toInteger FROM readonly_role;        -- 撤销权限
​

3.2.4 最佳实践与注意事项

• 最小权限原则 (Principle of Least Privilege)：只授予用户或角色完成其工作所需的最小权限。避免过度授权，降低安全风险。

• 角色细分：根据业务需求和用户职责，合理划分角色。例如，可以创建 “数据录入角色”、“数据分析角色”、“报表查看角色” 等，并为每个角色分配不同的权限。

• 定期审查权限配置：定期审查用户和角色的权限配置，确保权限设置仍然符合当前的业务需求和安全策略。及时清理不再需要的用户和角色，以及过时的权限。

• 使用角色进行权限管理：尽量将权限授予角色，而不是直接授予用户。这样可以简化权限管理，提高可维护性。当用户角色发生变化时，只需要调整用户与角色的关系，而无需修改大量的用户权限。

• 密码策略：强制用户设置强密码，并定期修改密码。可以设置密码过期策略，提高账户安全性。

• 审计日志：启用 Neo4j 的审计日志功能，记录用户操作和权限变更事件，方便安全审计和问题排查。

• 谨慎操作高权限命令：DROP USER, DROP ROLE, DROP DATABASE 等高权限命令操作不可逆，务必谨慎操作，并进行充分的测试和验证。

• 关注 Neo4j 版本更新：Neo4j 的权限体系在不断发展和完善，不同版本可能存在差异。建议关注 Neo4j 官方文档，了解最新版本的权限特性和最佳实践。

3.2.5 总结

用户与权限管理是 Neo4j 安全管理的重要组成部分。本文详细介绍了 Neo4j 的 RBAC 权限模型、权限类型、资源类型、默认角色以及相关的 Cypher 代码实践。通过合理的权限配置，可以有效地保护 Neo4j 数据库的数据安全和系统稳定。在实际应用中，需要结合具体的业务场景和安全需求，制定完善的权限管理策略，并持续优化和维护。掌握 Neo4j 的用户与权限管理机制，是成为一名合格 Neo4j 管理员和运维人员的必备技能。