PostgreSQL 行级安全 RLS 深入（策略、current_setting 与性能）

PostgreSQL 行级安全 RLS 深入（策略、current_setting 与性能）关键实践与参数启用 RLS：`ALTER TABLE t ENABLE ROW LEVEL SECURITY;`策略：`USING` 读策略与 `WITH CHECK` 写入策略；上下文注入 `set_config('app.tenant_id', ...)`。性能：为策略条件字段建立索引；避免全表扫描与谓词复杂度过高。示例ALTER TABLE orders ENABLE ROW LEVEL SECURITY; CREATE POLICY tenant_read ON orders USING (tenant_id = current_setting('app.tenant_id')::uuid); CREATE POLICY tenant_write ON orders WITH CHECK (tenant_id = current_setting('app.tenant_id')::uuid); 验证方法会话设置不同 `tenant_id` 下读写测试；越权尝试应被拒绝。观察查询计划与索引命中；策略变更后的性能回归。审计与错误日志：记录拒绝与策略命中情况。注意事项默认拒绝原则；仅允许明确策略。谨慎使用复杂表达式；控制策略可维护性。应用会话管理需可靠注入与清理上下文。