Column Level Security (CLS) в Apache Superset. Jinja + Handlebars

Эта статья реализована в стиле HOWTO, поэтому не будет долгого вступления. Предполагается, что люди, нуждающиеся в механизме CLS, уже знают многие базовые вещи (поэтому каждую сущность разжевывать не будем — ссылки на самостоятельное изучение будут оставлены). Цель статьи — показать способ реализации ролевого доступа к колонкам при визуализации в Apache Superset. Итак, поехали.

Многие, наверняка, слышали про RLS (Row Level Security) в Apache Superset — механизм управления доступом к строкам данных. Например, можно запретить пользователю с ролью, отличной от admin, использовать определенные строки данных датасета.

К сожалению, механизма CLS из коробки нет. И реализовать его полностью аналогично RLS не получится (на уровне датасета нельзя внедрить CLS правило, чтобы оно применялось ко всем чартам, построенным на датасете). Но его можно реализовать на уровне чарта. В этом поможет связка Jinja + Handlebars.

Представим задачу для примера. У нас есть таблица salary, имеющая следующее наполнение (прошу прощения за employee_id=1 — забыл поменять, под капотом ClickHouse, но это и не важно в рамках статьи)

И нам необходимо реализовать чарт типа TABLE таким образом, чтобы колонка employee_salary отображалась только пользователю с именем admin (выбирайте того пользователя, из под которого будете проделывать все манипуляции; в примере все будет сделано из под пользователя admin — это важно).

Первое, что будет необходимо сделать — убедиться, что активирован feature flag, позволяющий использовать Jinja. Для этого необходимо проверить, что в файле superset/docker/pythonpath_dev/superset_config.py в словаре FEATURE_FLAGS ключ ENABLE_TEMPLATE_PROCESSING имеет значение True.

FEATURE_FLAGS = {"ENABLE_TEMPLATE_PROCESSING": True ...}

Если такого элемента словаря не было — добавляем и делаем рестарт (здесь все зависит от типа инсталляции).

Затем нужно на основе таблицы salary создать физический датасет (так проще, но можно и виртуальный, позже станет понятно, что разницы нет).

Далее необходимо получить информацию об имени текущего пользователя и добавить её в датасет как вычисляемую колонку. В этом поможет макрос Jinja current_username()(список всех макросов). Не будем углубляться в получасовую теорию — сейчас всё станет интуитивно понятно. Делаем точь-в-точь, как показано на изображении.

Макрос под капотом — код на языке Python, который возвращает результат строковым типом. Однако в SQL-контексте это значение интерпретируется как обычное слово. Чтобы явно преобразовать его в SQL-строковый литерал, необходимо заключить результат в одинарные кавычки. Название колонки может быть произвольным — в нашем примере используется ‘username‘.

Для проверки создадим простой TABLE-чарт, отобразив колонку username. Результат будет соответствовать ожиданиям:

Отлично! Мы уже добились того, что датасет содержит колонку с информацией о текущем пользователе. Следующая задача — в зависимости от значения в колонке username скрывать/отображать колонку employee_salary. Для реализации этой функциональности будем использовать тип визуализации Handlebars. Выбираем его для текущего чарта.

Далее на чарте нажимаем кнопку UPDATE CHART, переключаемся на вкладку CUSTOMIZE и получаем следующую картину

Итак, кратко и по порядку (на примере будет яснее).

1. Handlebars Template — шаблонизатор для генерации динамического кода HTML. Под капотом имеет множество хелперов (логические операции)

2. CSS Styles — пишем свой CSS для визуализации

Давайте для простоты сделаем таблицу с минимальными изменениями CSS. Готовый код Handlebars Template с комментариями:

<table class="data-table">   <!-- thead - названия колонок -->   <thead>     <tr>        <th>ID сотрудника</th>       <th>Имя сотрудника</th>       <!-- если пользователь не admin, то ячейки с названием колонки не будет -->       <!-- data - объект, содержащий информацию из датасета. берем значение колонки username из 0 элемента (первая строка) -->       {{#if (eq data.0.username "admin")}}         <th>Зарплата</th>       {{/if}}     </tr>   </thead>   <tbody>     <!-- #each data - итерируемся по объекту data, фактически, построчный вывод таблицы -->     {{#each data}}       <tr>         <!-- this - контекстный объект, текущая строка -->         <td> {{this.employee_id}}</td>         <td> {{this.employee_name}}</td>         <!-- если пользователь не admin, то ячейку employee_salary не отображаем-->         {{#if (eq this.username "admin")}}           <td> {{this.employee_salary}} </td>         {{/if}}       </tr>     {{/each}}   </tbody> </table>

Готовый код CSS Styles

.data-table {     border-collapse: collapse;     width: 100%;   } .data-table th, .data-table td {   border: 1px solid black;   padding: 8px;   text-align: left; }

Теперь проверим работоспособность решения. Поскольку все манипуляции выполнялись от имени пользователя admin (напомню, у вас может быть другой пользователь — используйте его имя в коде вместо admin), для проверки достаточно изменить условия отображения.

Например, замените в коде Handlebars Template ‘admin‘ на ‘dsa‘ (или любой произвольный набор символов). Вот что мы получим в результате:

Изображение выше подтверждает, что мы успешно реализовали Column-Level Security (CLS) на уровне чарта. Дальнейшие действия просты:

1. Возвращаем в коде Handlebars Template значение ‘dsa‘ обратно на ‘admin‘

2. Сохраняем изменения в чарте

3. Добавляем чарт на дашборд

4. Тестируем под разными учётными записями (admin и обычный пользователь)

5. Проверяем корректность работы механизма

Итого: Комбинация Jinja + Handlebars + CSS предоставляет весьма богатые возможности кастомизации.

Пользуйтесь на здоровье!