Ограничение агрегатных / оконных функций в условиях политики безопасности на уровне строк Postgres

По сути, он говорит вам, что каждая строка независима в отношении безопасности на уровне строк.

Рассмотрим таблицу ниже:

+---------------------+----------------+
| field1              | field2         |
+---------------------+----------------+
| value1              | 1              |
| value1              | 2              |
| value1              | 3              |
| value2              | 4              |
+---------------------+----------------+

Есть несколько (разрешительных) политик:

1. field1 = 'value1'
2. field1 = 'value2'
3. SUM (field2)> 10 (запрещено, но давайте представим, что вы можете его определить)

Вам предоставлены политики №2 и 3. Вы можете просматривать и обновлять только последнюю запись.
... Пока вы не выполните UPDATE table SET value2 = 11.

Это действительно плохо с точки зрения:

• Безопасность. Вы можете «предоставить себе» доступ к записям как пользователь (не как администратор).
• Техническое обслуживание. Записи в такой базе данных будут появляться / исчезать случайным образом.
• Производительность. Оценка такой политики потребовала бы очень больших затрат.

Интересно, что вы можете определять политики как MyField IN (SELECT MyOtherField FROM MyOtherTable), и в этом случае все зависит от того, что вы определили в MyOtherTable (он предназначен для использования с FK / PK).