DBMS_RLS包实现数据库表行级安全控制

DBMS_RLS 是实现数据库表行级别安全控制的,这个包包含精细访问控制管理接口,这个接口是用来实现VPD(Virtual Private Database),虚拟私有数据库。DBMS_RLS只能在ORACLE的企业版(Enterpris Edition Only)本才可以用。oracle ebs 的权限是用这个来管理的。在数据库的数据安全访问的解决上,有很多的方法来解决权限的问题,有的是通过功能模块来控制访问权限的,有的是用建立视图的方法控制,例如查询语句中加where语句来控制。但是用view的方法时,当表结构或者权限变更的时候就很不容易操作,编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改;用where语句可以解决问题但是安全性不好,只能在应用程序级别才能控制,绕开应用程序就无法控制。

Oracle VPD 技术在数据库级别的安全控制有效的解决了数据访问操作的权限问题,可以对数据库对象进行访问控制,可以灵活的隔离数据,oracle已经实现了VPD,可以直接使用,比在应用层权限控制实现起来较方便,权限维护也比容易。VPD访问控制原理也是使用where语句来控制,只是这个where语句是数据库在操作数据时自动拼接,不是在应用层拼接,而且由事先定义的策略来决定是否拼接条件语句。

下面我来用DBMS_RLS的包来实现如下条件的访问控制功能:

有如下4个用户AM145,AM147,AM148,AM149

1,只能查询OE.CUSTS表,

2,其过滤条件是OE.CUSTS.account_mgr_id=substr(user,3,3)

第一步:创建用户及访问授权

$>sqlplus / as sysdba

create user AM145 identified by AM145;

grant create session to AM145;

grant select on oe.custs to AM145;

create user AM147 identified by AM147;

grant create session to AM147;

grant select on oe.custs to AM147;

create user AM148 identified by AM148;

grant create session to AM148;

grant select on oe.custs to AM148;

create user AM149 identified by AM149;

grant create session to AM149;

grant select on oe.custs to AM149;

第二步:创建function获得where 过滤条件的predicate.函数返回拼接在DML语句的where条件之后的语句,但是where语句并不是执行DML时可见的,系统根绝策略自动添加的,条件来自策略函数的返回值。

vi fun1.sql

create or replace FUNCTION oe.policy_function (object_schema IN VARCHAR2, object_name VARCHAR2)

RETURN VARCHAR2 IS

ls_return varchar2(100);

ls_username varchar2(100);

begin

ls_username := user;

if ls_username like ‘AM%‘ then

ls_return := ‘oe.custs.account_mgr_id=substr(‘||‘‘‘‘||ls_username||‘‘‘‘||‘,3,3)‘;

end if;

return ls_return;

end;

/

SQL> @fun1.sql

Function created.

第三步:添加策略

vi myPolicy1.sql

BEGIN

dbms_rls.add_policy(object_schema => ‘oe‘,

object_name => ‘custs‘,

policy_name => ‘my_policy1‘,

function_schema =>‘oe‘,

policy_function => ‘policy_function‘,

statement_types =>‘select‘,

enable=>true);

END;

/

SQL> @myPolicy1.sql

PL/SQL procedure successfully completed.

第四步:验证是否成功

SQL> select account_mgr_id,count(*) from oe.custs group by account_mgr_id;

ACCOUNT_MGR_ID   COUNT(*)

-------------- ----------

147         76

149         74

148         58

145        111

SQL> conn AM145/AM145

Connected.

SQL> select count(*) from oe.custs;

COUNT(*)

----------

111

SQL> conn AM147/AM147

Connected.

SQL>  select count(*) from oe.custs;

COUNT(*)

----------

76

SQL> conn AM148/AM148

Connected.

SQL>  select count(*) from oe.custs;

COUNT(*)

----------

58

SQL> conn AM149/AM149

Connected.

SQL>  select count(*) from oe.custs;

COUNT(*)

----------

74

从上面可以看出,对用户AM145,AM147,AM148,AM149的访问控制成功。

Note:删除策略:

SQL> CONN / AS SYSDBA

Connected.

SQL> exec DBMS_RLS.DROP_POLICY(‘oe‘, ‘CUSTS‘, ‘my_policy1‘);

PL/SQL procedure successfully completed.

SQL> conn AM145/AM145

Connected.

SQL> select count(*) from oe.custs;

COUNT(*)

----------

319

删除策略后用户AM145,AM147,AM148,AM149是可以看OE表的所有的行数据的。

DBMS_RLS包实现数据库表行级安全控制

时间: 2024-10-12 21:41:36

DBMS_RLS包实现数据库表行级安全控制的相关文章

DBMS_RLS包实现数据库表中的行级安全控制

DBMS_RLS 实现一个数据库表为行级安全控制,该套餐包括细粒度的访问控制管理界面,此接口是用来实现VPD(Virtual Private Database),虚拟专用数据库.DBMS_RLS仅仅能在ORACLE的企业版(Enterpris Edition Only)本才干够用.oracle ebs 的权限是用这个来管理的. 在数据库的数据安全訪问的解决上,有非常多的方法来解决权限的问题.有的是通过功能模块来控制訪问权限的,有的是用建立视图的方法控制,比如查询语句中加where语句来控制.可是

Oracle锁表 行级锁 表级锁 行级锁

Oracle锁表  行级锁  表级锁 ---- 行被排他锁定 ----在某行的锁被释放之前,其他用户不能修改此行          ----使用 commit 或 rollback 命令释放锁 ----Oracle 通过使用 INSERT.UPDATE 和 SELECT-FOR UPDATE 语句自动获取行级锁 SELECT-FOR UPDATE 子句  ―在表的一行或多行上放置排他锁  ―用于防止其他用户更新该行 ―可以执行除更新之外的其他操作 ―select * from goods whe

Akka(41): Http:DBTable-rows streaming - 数据库表行交换

在前面一篇讨论里我们介绍了通过http进行文件的交换.因为文件内容是以一堆bytes来表示的,而http消息的数据部分也是byte类型的,所以我们可以直接用Source[ByteString,_]来读取文件然后放进HttpEntity中.我们还提到:如果需要进行数据库数据交换的话,可以用Source[ROW,_]来表示库表行,但首先必须进行ROW -> ByteString的转换.在上期讨论我们提到过这种转换其实是ROW->Json->ByteString或者反方向的转换,在Akka-h

php基础:while循环查出所有数据库表行

$conn = mysql_connect('localhost','root','root');mysql_query('use ctx',$conn);mysql_query('set names utf8',$conn); $sql = "select * from girl";$rs = mysql_query($sql); $date = array();while($row = mysql_fetch_row($rs)){    $date[] = $row;}print_

你真的会用mysql行级锁吗?mysql 行级锁全解析

在互联网大并发应用大行其道的今天,应用的开发总是离不开锁,在分布式应用中,最常见的莫过于基于数据库的行级锁了,由于互联网公司中比较主流的数据库还是mysql,所以这一话题绕不开的就是mysql了,但是由于mysql中innoDb引擎特殊的机制,经常一不小心就会发生死锁,本次咱们就来聊一聊基于mysql innodb 实现的行级锁,以及为什么会产生死锁,和如何避免死锁 首先,使用mysql实现行级锁的两大前提就是,innodb引擎并且开启事务.由于MySQL/InnoDB的加锁分析,一直是一个比较

[数据库事务与锁]详解五: MySQL中的行级锁,表级锁,页级锁

注明: 本文转载自http://www.hollischuang.com/archives/914 在计算机科学中,锁是在执行多线程时用于强行限制资源访问的同步机制,即用于在并发控制中保证对互斥要求的满足. 在数据库的锁机制中介绍过,在DBMS中,可以按照锁的粒度把数据库锁分为行级锁(INNODB引擎).表级锁(MYISAM引擎)和页级锁(BDB引擎 ). 行级锁 行级锁是Mysql中锁定粒度最细的一种锁,表示只针对当前操作的行进行加锁.行级锁能大大减少数据库操作的冲突.其加锁粒度最小,但加锁的

数据库的锁:行级锁、表锁、乐观锁、悲观锁的实现原理

一.相关名词 表级锁(锁定整个表) 页级锁(锁定一页) 行级锁(锁定一行) 共享锁(S锁,MyISAM 叫做读锁) 排他锁(X锁,MyISAM 叫做写锁) 悲观锁(抽象性,不真实存在这个锁) 乐观锁(抽象性,不真实存在这个锁) 二.InnoDB与MyISAM Mysql 在5.5之前默认使用 MyISAM 存储引擎,之后使用 InnoDB .查看当前存储引擎: show variables like '%storage_engine%'; MyISAM 操作数据都是使用的表锁,你更新一条记录就要

获取数据库时间sql 以及行级锁总结-共享锁-排他锁-死锁

--TRUNC(date,[fmt]) /TRUNC(number[,decimals])SELECT SYSDATE FROM dual;SELECT TRUNC(SYSDATE) FROM dualSELECT TRUNC(12.34524,2) FROM dual;  --12.34SELECT TRUNC(-12.34724,2) FROM dual; --12.34SELECT TRUNC(12.34524,-1) FROM dual; --10--返回当前月的第一天 SELECT T

MySQL行级锁、表级锁、页级锁详细介绍

原文链接:http://www.jb51.net/article/50047.htm 页级:引擎 BDB.表级:引擎 MyISAM , 理解为锁住整个表,可以同时读,写不行行级:引擎 INNODB , 单独的一行记录加锁 表级,直接锁定整张表,在你锁定期间,其它进程无法对该表进行写操作.如果你是写锁,则其它进程则读也不允许行级,,仅对指定的记录进行加锁,这样其它进程还是可以对同一个表中的其它记录进行操作.页级,表级锁速度快,但冲突多,行级冲突少,但速度慢.所以取了折衷的页级,一次锁定相邻的一组记