安全实施方案
预授权工具(Database Query Utils (Pre-authorization))的安全部署需遵循以下原则:
- 最小权限配置
- 创建专用数据库账号,仅授予SELECT权限
- 在
preauth_queries.yaml中严格定义:allowed_tables: [‘public_data’]max_rows: 100
- 审计追踪措施
- 启用Dify的操作日志功能
- 在SQL中追加
/*user:{{user_id}}*/注释 - 配置数据库原生审计(如MySQL Audit Plugin)
- 动态脱敏方案
- 对敏感字段使用
CONCAT(LEFT(phone,3),‘****’)处理 - 通过视图(View)实现列级权限控制
- 对敏感字段使用
典型案例:医疗系统中通过预授权工具限定医生只能查询SELECT patient_id,treatment_date FROM records WHERE doctor_id=‘{{current_user}}’,且结果自动隐藏身份证号字段。
本答案来源于文章《支持数据库查询的Dify插件》
未经允许不得转载:AI生产力工具 » 在数据敏感场景中如何安全使用预授权数据库查询功能?
简体中文 
English 
日本語 
Deutsch 
Português do Brasil