Neo4j 权限配置

用户管理

用户管理是 Neo4j 权限配置的基础，包括用户创建、查询、属性修改和删除等操作。Neo4j 支持多种用户认证方式，包括本地用户、LDAP 用户和 Kerberos 用户。

用户创建

Neo4j 支持创建不同类型的用户，以适应不同的认证需求。

创建本地用户

本地用户是存储在 Neo4j 数据库中的用户，适用于大多数场景。

// 创建具有密码的本地用户
CREATE USER alice SET PASSWORD 'password123' CHANGE NOT REQUIRED;

// 创建需要修改密码的用户
CREATE USER bob SET PASSWORD 'temp123' CHANGE REQUIRED;

参数说明：

• CHANGE NOT REQUIRED：用户不需要在下次登录时修改密码
• CHANGE REQUIRED：用户必须在下次登录时修改密码

创建 LDAP 用户

LDAP 用户是映射到外部 LDAP 目录的用户，适用于企业级环境。

// 创建 LDAP 用户映射
CREATE USER charlie OPTIONS { provider: 'ldap', principal: 'cn=charlie,dc=example,dc=com' };

参数说明：

• provider：认证提供程序类型，这里是 'ldap'
• principal：LDAP 主体名称，格式取决于 LDAP 服务器配置

创建 Kerberos 用户

Kerberos 用户是映射到 Kerberos 系统的用户，适用于大型企业环境。

// 创建 Kerberos 用户映射
CREATE USER dave OPTIONS { provider: 'kerberos', principal: 'dave@EXAMPLE.COM' };

参数说明：

• provider：认证提供程序类型，这里是 'kerberos'
• principal：Kerberos 主体名称，格式为 '用户名@REALM'

用户信息查询

查询用户信息是权限管理的重要操作，可以帮助管理员了解当前用户状态和属性。

查询所有用户

// 查询所有用户
SHOW USERS;

// 查询包含详细信息的用户列表
SHOW USERS YIELD *;

查询说明：

• SHOW USERS：返回所有用户的基本信息
• SHOW USERS YIELD *：返回所有用户的详细信息，包括用户名、状态、角色等

查询特定用户

// 查询特定用户信息
SHOW USER alice YIELD *;

查询说明：

• SHOW USER <用户名> YIELD *：返回指定用户的详细信息

用户属性修改

用户属性修改包括修改密码、启用/禁用用户和修改其他属性等操作。

修改用户密码

// 修改用户密码
ALTER USER alice SET PASSWORD 'newPassword456' CHANGE NOT REQUIRED;

// 强制用户下次登录修改密码
ALTER USER bob SET PASSWORD 'temp789' CHANGE REQUIRED;

修改说明：

• SET PASSWORD：设置用户密码
• CHANGE NOT REQUIRED/CHANGE REQUIRED：控制用户是否需要在下次登录时修改密码

启用/禁用用户

// 禁用用户
ALTER USER charlie SET STATUS DISABLED;

// 启用用户
ALTER USER charlie SET STATUS ENABLED;

修改说明：

• SET STATUS DISABLED：禁用用户，用户无法登录
• SET STATUS ENABLED：启用用户，用户可以正常登录

修改用户属性

// 修改用户属性
ALTER USER alice SET HOME DATABASE neo4j;
ALTER USER alice SET DEFAULT DATABASE neo4j;

修改说明：

• SET HOME DATABASE：设置用户的主数据库
• SET DEFAULT DATABASE：设置用户的默认数据库

用户删除

删除不再需要的用户是权限管理的重要环节，可以减少安全风险。

删除单个用户

// 删除用户
DROP USER dave;

// 强制删除用户（即使用户有活跃会话）
DROP USER bob IF EXISTS FORCE;

删除说明：

• DROP USER <用户名>：删除用户，如果用户有活跃会话则删除失败
• DROP USER <用户名> IF EXISTS FORCE：强制删除用户，即使有活跃会话也会删除
• IF EXISTS：如果用户不存在，不会抛出错误

删除多个用户

// 批量删除用户
DROP USER alice, charlie;

删除说明：

• 可以同时删除多个用户，用逗号分隔用户名单

注意事项：

• 删除用户前，建议先移除用户的所有角色
• 定期清理不再需要的用户，减少安全风险
• 对重要用户的删除操作要谨慎，建议先备份相关数据

角色管理

角色管理是 Neo4j 权限配置的核心，通过角色可以实现对用户权限的集中管理和控制。Neo4j 提供了内置角色和自定义角色两种类型，以满足不同场景的需求。

内置角色

Neo4j 提供了多种内置角色，涵盖了从基本访问到完全管理的各种权限级别。

角色名称	权限描述	适用场景
reader	只读访问数据库，可执行查询但不能修改数据	普通用户，仅需要读取数据
publisher	可读可写，可创建和修改数据，但不能管理用户和角色	应用程序用户，需要读写数据
editor	可读写数据，可创建索引和约束	数据管理员，需要管理数据和索引
admin	完全管理权限，包括用户、角色、数据库等	数据库管理员，需要完全管理权限
architect	可管理数据库架构，包括创建和修改节点标签、关系类型和属性	架构设计师，需要管理数据库结构
access	基本访问权限，可连接到数据库但不能执行查询	受限用户，仅允许连接

内置角色特点：

• 内置角色是预定义的，不能修改或删除
• 每个内置角色都有特定的权限集合
• 内置角色适用于大多数常见场景

自定义角色创建

对于复杂的权限需求，可以创建自定义角色，实现更细粒度的权限控制。

创建自定义角色

// 创建自定义角色
CREATE ROLE data_scientist;

// 创建具有描述的角色
CREATE ROLE app_developer DESCRIPTION 'Application developer role with limited access';

创建说明：

• CREATE ROLE <角色名>：创建一个新的自定义角色
• DESCRIPTION：可选参数，为角色添加描述信息，便于管理

角色权限管理

角色权限管理包括授予权限、撤销权限和查看权限等操作，可以实现对角色权限的精确控制。

授予权限给角色

// 授予读取数据权限
GRANT TRAVERSE ON GRAPH * NODES * TO data_scientist;
GRANT READ ON GRAPH * PROPERTIES * TO data_scientist;

// 授予写入数据权限
GRANT CREATE ON GRAPH * NODES * TO app_developer;
GRANT DELETE ON GRAPH * NODES * TO app_developer;
GRANT SET ON GRAPH * PROPERTIES * TO app_developer;

// 授予管理索引权限
GRANT INDEX MANAGEMENT ON DATABASE * TO app_developer;

// 授予管理约束权限
GRANT CONSTRAINT MANAGEMENT ON DATABASE * TO app_developer;

授予说明：

• GRANT：授予权限的关键字
• TRAVERSE：允许遍历节点和关系
• READ：允许读取属性
• CREATE：允许创建节点和关系
• DELETE：允许删除节点和关系
• SET：允许设置属性
• INDEX MANAGEMENT：允许管理索引
• CONSTRAINT MANAGEMENT：允许管理约束
• ON GRAPH *：应用于所有图数据库
• TO <角色名>：将权限授予指定角色

撤销角色权限

// 撤销写入权限
REVOKE CREATE ON GRAPH * NODES * FROM app_developer;
REVOKE DELETE ON GRAPH * NODES * FROM app_developer;

// 撤销索引管理权限
REVOKE INDEX MANAGEMENT ON DATABASE * FROM app_developer;

撤销说明：

• REVOKE：撤销权限的关键字
• FROM <角色名>：从指定角色撤销权限

查看角色权限

// 查看角色的所有权限
SHOW ROLE data_scientist PRIVILEGES;

// 查看角色在特定数据库上的权限
SHOW ROLE app_developer PRIVILEGES ON DATABASE neo4j;

查看说明：

• SHOW ROLE <角色名> PRIVILEGES：查看角色的所有权限
• ON DATABASE <数据库名>：可选参数，仅查看角色在特定数据库上的权限

角色分配与移除

角色分配与移除是将角色权限应用到用户的关键操作。

分配角色给用户

// 给用户分配角色
GRANT ROLE reader TO alice;
GRANT ROLE publisher TO bob;
GRANT ROLE data_scientist TO charlie;

// 给用户分配多个角色
GRANT ROLES editor, architect TO dave;

分配说明：

• GRANT ROLE <角色名> TO <用户名>：将单个角色分配给用户
• GRANT ROLES <角色1>, <角色2> TO <用户名>：将多个角色同时分配给用户

从用户移除角色

// 从用户移除单个角色
REVOKE ROLE publisher FROM bob;

// 从用户移除多个角色
REVOKE ROLES editor, architect FROM dave;

移除说明：

• REVOKE ROLE <角色名> FROM <用户名>：从用户移除单个角色
• REVOKE ROLES <角色1>, <角色2> FROM <用户名>：从用户移除多个角色

查看用户角色

// 查看用户的角色
SHOW ROLES FOR USER alice;

// 查看所有用户及其角色
SHOW USERS YIELD name, roles;

查看说明：

• SHOW ROLES FOR USER <用户名>：查看特定用户的角色
• SHOW USERS YIELD name, roles：查看所有用户及其角色

角色删除

对于不再需要的自定义角色，可以删除以保持权限管理的简洁性。

删除自定义角色

// 删除自定义角色
DROP ROLE data_scientist;
DROP ROLE app_developer;

// 强制删除角色（即使有用户分配了该角色）
DROP ROLE old_role IF EXISTS FORCE;

删除说明：

• DROP ROLE <角色名>：删除自定义角色，如果有用户分配了该角色则删除失败
• DROP ROLE <角色名> IF EXISTS FORCE：强制删除角色，即使有用户分配了该角色
• IF EXISTS：如果角色不存在，不会抛出错误

注意事项：

• 只能删除自定义角色，不能删除内置角色
• 删除角色前，建议先从所有用户移除该角色
• 定期清理不再需要的自定义角色，保持权限管理的简洁性

权限类型

数据访问权限

节点权限

// 授予节点读取权限
GRANT TRAVERSE ON GRAPH * NODES Person TO role_name;
GRANT READ ON GRAPH * PROPERTIES Person.name, Person.age TO role_name;

// 授予节点写入权限
GRANT CREATE ON GRAPH * NODES Person TO role_name;
GRANT DELETE ON GRAPH * NODES Person TO role_name;
GRANT SET ON GRAPH * PROPERTIES Person.email TO role_name;
GRANT REMOVE ON GRAPH * PROPERTIES Person.temp_field TO role_name;

关系权限

// 授予关系读取权限
GRANT TRAVERSE ON GRAPH * RELATIONSHIPS KNOWS TO role_name;
GRANT READ ON GRAPH * PROPERTIES KNOWS.since TO role_name;

// 授予关系写入权限
GRANT CREATE ON GRAPH * RELATIONSHIPS WORKS_FOR TO role_name;
GRANT DELETE ON GRAPH * RELATIONSHIPS WORKS_FOR TO role_name;
GRANT SET ON GRAPH * PROPERTIES WORKS_FOR.department TO role_name;

架构管理权限

索引管理

// 授予索引管理权限
GRANT INDEX MANAGEMENT ON DATABASE * TO role_name;

// 特定数据库的索引管理权限
GRANT INDEX MANAGEMENT ON DATABASE neo4j TO role_name;

约束管理

// 授予约束管理权限
GRANT CONSTRAINT MANAGEMENT ON DATABASE * TO role_name;

// 特定数据库的约束管理权限
GRANT CONSTRAINT MANAGEMENT ON DATABASE neo4j TO role_name;

标签和关系类型管理

// 授予标签和关系类型管理权限
GRANT NAME MANAGEMENT ON DATABASE * TO role_name;

数据库管理权限

数据库创建和删除

// 授予数据库创建权限
GRANT CREATE DATABASE ON SYSTEM TO role_name;

// 授予数据库删除权限
GRANT DROP DATABASE ON SYSTEM TO role_name;

数据库备份和恢复

// 授予数据库备份权限
GRANT BACKUP ON DATABASE * TO role_name;

// 授予数据库恢复权限
GRANT RESTORE ON DATABASE * TO role_name;

数据库访问权限

// 授予数据库访问权限
GRANT ACCESS ON DATABASE neo4j TO role_name;

// 授予所有数据库访问权限
GRANT ACCESS ON DATABASE * TO role_name;

用户和角色管理权限

用户管理

// 授予用户创建权限
GRANT CREATE USER ON SYSTEM TO role_name;

// 授予用户删除权限
GRANT DROP USER ON SYSTEM TO role_name;

// 授予用户修改权限
GRANT ALTER USER ON SYSTEM TO role_name;

角色管理

// 授予角色创建权限
GRANT CREATE ROLE ON SYSTEM TO role_name;

// 授予角色删除权限
GRANT DROP ROLE ON SYSTEM TO role_name;

// 授予角色分配权限
GRANT ASSIGN ROLE ON SYSTEM TO role_name;

细粒度权限控制

基于标签的权限

// 授予对特定标签的权限
GRANT TRAVERSE ON GRAPH * NODES Customer TO role_name;
GRANT READ ON GRAPH * PROPERTIES Customer.* TO role_name;
GRANT CREATE ON GRAPH * NODES Customer TO role_name;

基于关系类型的权限

// 授予对特定关系类型的权限
GRANT TRAVERSE ON GRAPH * RELATIONSHIPS PURCHASED TO role_name;
GRANT READ ON GRAPH * PROPERTIES PURCHASED.* TO role_name;
GRANT CREATE ON GRAPH * RELATIONSHIPS PURCHASED TO role_name;

基于属性的权限

// 授予对特定属性的权限
GRANT READ ON GRAPH * PROPERTIES Customer.name, Customer.email TO role_name;
GRANT SET ON GRAPH * PROPERTIES Customer.email TO role_name;
GRANT REMOVE ON GRAPH * PROPERTIES Customer.temp_data TO role_name;

基于路径的权限

// 路径权限示例：允许访问特定路径
// 注意：Neo4j 不直接支持路径权限，需要通过标签和关系类型组合实现
GRANT TRAVERSE ON GRAPH * NODES Company, Department TO role_name;
GRANT TRAVERSE ON GRAPH * RELATIONSHIPS HAS_DEPARTMENT TO role_name;
GRANT READ ON GRAPH * PROPERTIES Company.name, Department.name TO role_name;

权限继承

角色继承关系

// 创建继承关系
// 注意：Neo4j 不直接支持角色继承，需要通过将多个角色分配给用户来实现类似效果

// 创建基础角色
CREATE ROLE base_role;
GRANT ACCESS ON DATABASE neo4j TO base_role;
GRANT TRAVERSE ON GRAPH * NODES * TO base_role;

// 创建扩展角色
CREATE ROLE extended_role;
GRANT READ ON GRAPH * PROPERTIES * TO extended_role;

// 创建管理角色
CREATE ROLE admin_role;
GRANT CREATE ON GRAPH * NODES * TO admin_role;
GRANT DELETE ON GRAPH * NODES * TO admin_role;

// 用户继承多个角色
GRANT ROLES base_role, extended_role TO user1;
GRANT ROLES base_role, admin_role TO user2;

权限优先级

// 权限优先级规则：
// 1. 显式拒绝（DENY）优先于显式授予（GRANT）
// 2. 显式授予优先于默认权限
// 3. 更具体的权限优先于更通用的权限

// 示例：显式拒绝优先
GRANT READ ON GRAPH * PROPERTIES * TO role_name;
DENY READ ON GRAPH * PROPERTIES SensitiveData.* TO role_name;

// 示例：具体权限优先
GRANT READ ON GRAPH * PROPERTIES * TO role_name;
GRANT READ ON GRAPH * PROPERTIES Person.age TO role_name;

权限审计

查看权限变更历史

// 查看最近的权限变更
CALL dbms.logs.query('AUTH*', { includeMetadata: true, limit: 100 })
YIELD message, timestamp
RETURN timestamp, message
ORDER BY timestamp DESC;

查看当前会话权限

// 查看当前用户的权限
SHOW CURRENT USER PRIVILEGES;

// 查看当前用户的角色
SHOW CURRENT USER ROLES;

审计日志配置

# neo4j.conf 中配置审计日志

# 启用审计日志
dbms.security.audit.enabled=true

# 设置审计日志目录
dbms.security.audit.logs.directory=logs/audit

# 设置审计日志级别（可选：off, critical, error, warning, info, debug, trace）
dbms.security.audit.logs.level=info

# 设置审计日志格式（可选：plain, json）
dbms.security.audit.logs.format=json

# 配置审计事件类型
dbms.security.audit.events=AUTHENTICATION, AUTHORIZATION, USER_MANAGEMENT, ROLE_MANAGEMENT, PRIVILEGE_MANAGEMENT

# 配置审计日志轮换
dbms.security.audit.logs.rotation.size=100M
dbms.security.audit.logs.rotation.keep_number=7

访问控制策略

最小权限原则

// 示例：为应用用户分配最小必要权限

// 创建应用角色
CREATE ROLE app_user;

// 授予应用所需的最小权限
GRANT ACCESS ON DATABASE neo4j TO app_user;
GRANT TRAVERSE ON GRAPH * NODES User, Product, Order TO app_user;
GRANT TRAVERSE ON GRAPH * RELATIONSHIPS PURCHASED, OWNS TO app_user;
GRANT READ ON GRAPH * PROPERTIES User.id, User.name, Product.id, Product.name, Product.price, Order.id, Order.date TO app_user;
GRANT CREATE ON GRAPH * NODES Order TO app_user;
GRANT CREATE ON GRAPH * RELATIONSHIPS PURCHASED TO app_user;
GRANT SET ON GRAPH * PROPERTIES Order.date TO app_user;

// 分配角色给应用用户
CREATE USER app_service SET PASSWORD 'appSecret123' CHANGE NOT REQUIRED;
GRANT ROLE app_user TO app_service;

职责分离

// 示例：实现职责分离

// 数据读取角色
CREATE ROLE data_reader;
GRANT ACCESS ON DATABASE neo4j TO data_reader;
GRANT TRAVERSE ON GRAPH * NODES * TO data_reader;
GRANT READ ON GRAPH * PROPERTIES * TO data_reader;

// 数据写入角色
CREATE ROLE data_writer;
GRANT ACCESS ON DATABASE neo4j TO data_writer;
GRANT TRAVERSE ON GRAPH * NODES * TO data_writer;
GRANT CREATE ON GRAPH * NODES * TO data_writer;
GRANT DELETE ON GRAPH * NODES * TO data_writer;
GRANT SET ON GRAPH * PROPERTIES * TO data_writer;
GRANT REMOVE ON GRAPH * PROPERTIES * TO data_writer;

// 数据库管理角色
CREATE ROLE db_manager;
GRANT ACCESS ON DATABASE * TO db_manager;
GRANT CREATE DATABASE ON SYSTEM TO db_manager;
GRANT DROP DATABASE ON SYSTEM TO db_manager;
GRANT INDEX MANAGEMENT ON DATABASE * TO db_manager;
GRANT CONSTRAINT MANAGEMENT ON DATABASE * TO db_manager;

// 安全管理角色
CREATE ROLE security_admin;
GRANT CREATE USER ON SYSTEM TO security_admin;
GRANT DROP USER ON SYSTEM TO security_admin;
GRANT ALTER USER ON SYSTEM TO security_admin;
GRANT CREATE ROLE ON SYSTEM TO security_admin;
GRANT DROP ROLE ON SYSTEM TO security_admin;
GRANT ASSIGN ROLE ON SYSTEM TO security_admin;

// 为不同用户分配不同角色，实现职责分离
CREATE USER reader1 SET PASSWORD 'read123' CHANGE NOT REQUIRED;
GRANT ROLE data_reader TO reader1;

CREATE USER writer1 SET PASSWORD 'write123' CHANGE NOT REQUIRED;
GRANT ROLE data_writer TO writer1;

CREATE USER db_admin SET PASSWORD 'dbadmin123' CHANGE NOT REQUIRED;
GRANT ROLE db_manager TO db_admin;

CREATE USER sec_admin SET PASSWORD 'secadmin123' CHANGE NOT REQUIRED;
GRANT ROLE security_admin TO sec_admin;

定期权限审查

# 权限审查脚本示例
#!/bin/bash

# 导出所有用户和角色
cypher-shell -u neo4j -p <password> -c "SHOW USERS YIELD name, roles, homeDatabase, defaultDatabase, requiredPasswordChange, status" > users_report.csv

# 导出所有角色和权限
cypher-shell -u neo4j -p <password> -c "SHOW ROLES YIELD name" | tail -n +2 > roles.txt

while read -r role; do
  echo "Role: $role" >> roles_privileges_report.txt
  cypher-shell -u neo4j -p <password> -c "SHOW ROLE $role PRIVILEGES" >> roles_privileges_report.txt
  echo "" >> roles_privileges_report.txt
done < roles.txt

# 导出最近的权限变更
cypher-shell -u neo4j -p <password> -c "CALL dbms.logs.query('AUTH*', { includeMetadata: true, limit: 100 }) YIELD message, timestamp RETURN timestamp, message ORDER BY timestamp DESC" > auth_changes.csv

echo "权限审查报告已生成："
echo "- 用户和角色报告：users_report.csv"
echo "- 角色权限报告：roles_privileges_report.txt"
echo "- 权限变更报告：auth_changes.csv"

集成外部认证系统

LDAP 集成配置

# neo4j.conf 中配置 LDAP 认证

# 启用 LDAP 认证提供程序
dbms.security.authentication_providers=ldap, native

# LDAP 服务器配置
dbms.security.ldap.host=ldap.example.com
dbms.security.ldap.port=389
dbms.security.ldap.use_ssl=false
dbms.security.ldap.auth.use_sasl=false

# LDAP 绑定配置
dbms.security.ldap.auth.basic.username=cn=admin,dc=example,dc=com
dbms.security.ldap.auth.basic.password=admin_password

# LDAP 用户搜索配置
dbms.security.ldap.user.search_base=dc=example,dc=com
dbms.security.ldap.user.search_filter=(objectClass=person)
dbms.security.ldap.user.dn_template=cn={0},dc=example,dc=com

# LDAP 组映射配置
dbms.security.ldap.group.search_base=dc=example,dc=com
dbms.security.ldap.group.search_filter=(objectClass=groupOfNames)
dbms.security.ldap.group.member_atrribute=member
dbms.security.ldap.group.to_role_mapping=cn=readers,dc=example,dc=com=reader;cn=writers,dc=example,dc=com=publisher

Kerberos 集成配置

# neo4j.conf 中配置 Kerberos 认证

# 启用 Kerberos 认证提供程序
dbms.security.authentication_providers=kerberos, native
dbms.security.authorization_providers=kerberos, native

# Kerberos 配置
dbms.security.kerberos.realm=EXAMPLE.COM
dbms.security.kerberos.kdc.host=kdc.example.com
dbms.security.kerberos.kdc.port=88
dbms.security.kerberos.keytab.path=/etc/neo4j/neo4j.keytab
dbms.security.kerberos.service.principal=neo4j/neo4j.example.com@EXAMPLE.COM
dbms.security.kerberos.users.allow_all=true

SSO 集成配置

# neo4j.conf 中配置 SSO（通过 HTTP 代理）

# 启用 SSO 认证
dbms.security.authentication_providers=sso, native
dbms.security.authorization_providers=sso, native

# SSO 配置
dbms.security.sso.enabled=true
dbms.security.sso.auth_header=X-Forwarded-User
dbms.security.sso.caching.enabled=true
dbms.security.sso.caching.ttl=3600000

权限最佳实践

1. 定期审查权限

// 定期审查用户权限的 Cypher 查询

// 1. 查找拥有过多权限的用户
MATCH (u:User) // 注意：这是示例，实际应使用 SHOW USERS
WHERE u.roles CONTAINS 'admin'
RETURN u.name AS Username, u.roles AS Roles;

// 2. 查找长期未使用的用户
// 注意：Neo4j 不直接存储用户活动时间，需要通过审计日志查询
CALL dbms.logs.query('AUTH*', { includeMetadata: true, limit: 1000 })
YIELD message, timestamp
WITH message, timestamp
WHERE message CONTAINS 'LOGIN'
WITH SUBSTRING(message, POSITION('user=' IN message) + 5) AS userPart,
     timestamp
WITH SUBSTRING(userPart, 0, POSITION(' ' IN userPart)) AS username,
     timestamp
ORDER BY timestamp DESC
WITH username, collect(timestamp) AS loginTimes
RETURN username,
       max(loginTimes) AS lastLogin,
       count(loginTimes) AS loginCount
ORDER BY lastLogin ASC;

2. 使用命名空间隔离

// 使用命名空间隔离不同应用的数据

// 为不同应用创建数据库
CREATE DATABASE app1;
CREATE DATABASE app2;

// 为每个应用创建专用角色
CREATE ROLE app1_role;
CREATE ROLE app2_role;

// 为每个角色分配对应数据库的权限
GRANT ACCESS ON DATABASE app1 TO app1_role;
GRANT TRAVERSE ON GRAPH * NODES * TO app1_role;
GRANT READ ON GRAPH * PROPERTIES * TO app1_role;

GRANT ACCESS ON DATABASE app2 TO app2_role;
GRANT TRAVERSE ON GRAPH * NODES * TO app2_role;
GRANT READ ON GRAPH * PROPERTIES * TO app2_role;

// 为应用用户分配对应角色
CREATE USER app1_user SET PASSWORD 'app1pass' CHANGE NOT REQUIRED;
GRANT ROLE app1_role TO app1_user;

CREATE USER app2_user SET PASSWORD 'app2pass' CHANGE NOT REQUIRED;
GRANT ROLE app2_role TO app2_user;

3. 实施多因素认证

# neo4j.conf 中配置多因素认证

# 启用 MFA 插件
dbms.security.authentication_providers=mfa, native
dbms.security.authorization_providers=mfa, native

# MFA 插件配置
dbms.security.mfa.plugin=com.neo4j.mfa.plugin.MultiFactorAuthPlugin
dbms.security.mfa.config.file=/etc/neo4j/mfa-config.yml

# MFA 策略配置
dbms.security.mfa.required=true
dbms.security.mfa.allowed_methods=totp, sms, email
dbms.security.mfa.enrollment_url=http://mfa.example.com/enroll
dbms.security.mfa.verification_url=http://mfa.example.com/verify

4. 限制管理权限

// 限制管理权限的最佳实践

// 1. 避免直接使用 admin 角色
// 不推荐：
GRANT ROLE admin TO user;

// 推荐：创建定制的管理角色
CREATE ROLE limited_admin;
GRANT ACCESS ON DATABASE * TO limited_admin;
GRANT CREATE USER ON SYSTEM TO limited_admin;
GRANT ALTER USER ON SYSTEM TO limited_admin;
GRANT CREATE ROLE ON SYSTEM TO limited_admin;
GRANT ASSIGN ROLE ON SYSTEM TO limited_admin;
GRANT INDEX MANAGEMENT ON DATABASE * TO limited_admin;
GRANT CONSTRAINT MANAGEMENT ON DATABASE * TO limited_admin;

// 2. 实现管理权限的审批流程
// - 使用变更管理系统记录所有权限变更
// - 重要权限变更需要多人审批
// - 定期审查管理权限的使用情况

5. 监控权限相关事件

// 监控权限相关事件的 Cypher 查询

// 监控失败的登录尝试
CALL dbms.logs.query('AUTH*', { includeMetadata: true, limit: 500 })
YIELD message, timestamp
WHERE message CONTAINS 'LOGIN_FAILED'
RETURN timestamp, message
ORDER BY timestamp DESC;

// 监控权限变更
CALL dbms.logs.query('AUTH*', { includeMetadata: true, limit: 500 })
YIELD message, timestamp
WHERE message CONTAINS 'GRANT' OR message CONTAINS 'REVOKE' OR message CONTAINS 'DENY'
RETURN timestamp, message
ORDER BY timestamp DESC;

// 监控角色变更
CALL dbms.logs.query('AUTH*', { includeMetadata: true, limit: 500 })
YIELD message, timestamp
WHERE message CONTAINS 'CREATE ROLE' OR message CONTAINS 'DROP ROLE' OR message CONTAINS 'ASSIGN ROLE'
RETURN timestamp, message
ORDER BY timestamp DESC;

通过合理的权限配置和管理，可以有效保护 Neo4j 数据库的安全性，防止未授权访问和数据泄露，同时确保合法用户能够高效地访问所需数据。遵循权限最佳实践，定期审查和更新权限策略，是维护数据库安全的重要措施。

常见问题（FAQ）

Q1: Neo4j 中如何实现最小权限原则？

A1: 实现最小权限原则的关键是为用户和角色分配仅完成其工作所需的最少权限。具体步骤包括：

• 创建细粒度的自定义角色，而不是使用过于宽泛的内置角色
• 仅授予角色所需的特定数据访问权限（节点、关系、属性）
• 避免将管理员权限授予普通用户
• 定期审查和更新权限，移除不再需要的权限

Q2: 如何在 Neo4j 中实现角色继承？

A2: Neo4j 不直接支持角色继承关系，但可以通过以下方式实现类似效果：

• 创建基础角色和扩展角色
• 为基础角色分配通用权限
• 为扩展角色分配额外权限
• 将多个角色同时分配给用户，实现权限叠加

Q3: 如何审计和监控权限变更？

A3: 可以通过以下方式审计和监控权限变更：

• 在 neo4j.conf 中启用审计日志，配置记录 AUTHENTICATION、AUTHORIZATION、USER_MANAGEMENT、ROLE_MANAGEMENT 和 PRIVILEGE_MANAGEMENT 事件
• 使用 Cypher 查询审计日志，监控权限变更、登录尝试和角色分配
• 定期导出用户、角色和权限报告，进行离线分析

Q4: Neo4j 支持哪些外部认证系统？

A4: Neo4j 支持集成多种外部认证系统：

• LDAP：适用于企业级目录服务
• Kerberos：适用于大型企业环境的单点登录
• SSO：通过 HTTP 代理实现单点登录

Q5: 如何处理长期未使用的用户权限？

A5: 处理长期未使用的用户权限的建议：

• 配置审计日志，记录用户登录活动
• 定期查询审计日志，识别长期未登录的用户
• 对长期未使用的用户进行权限审查
• 考虑禁用或删除不再需要的用户账号
• 实施定期权限审查流程，确保权限始终与业务需求匹配