DBMS_RLS包实现数据库表行级安全控制
来源:互联网 发布:文明5配置要求mac 编辑:程序博客网 时间:2024/05/13 15:55
DBMS_RLS 是实现数据库表行级别安全控制的,这个包包含精细访问控制管理接口,这个接口是用来实现VPD(Virtual Private Database),虚拟私有数据库。DBMS_RLS只能在ORACLE的企业版(Enterpris Edition Only)本才可以用。oracle ebs 的权限是用这个来管理的。在数据库的数据安全访问的解决上,有很多的方法来解决权限的问题,有的是通过功能模块来控制访问权限的,有的是用建立视图的方法控制,例如查询语句中加where语句来控制。但是用view的方法时,当表结构或者权限变更的时候就很不容易操作,编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改;用where语句可以解决问题但是安全性不好,只能在应用程序级别才能控制,绕开应用程序就无法控制。
Oracle VPD 技术在数据库级别的安全控制有效的解决了数据访问操作的权限问题,可以对数据库对象进行访问控制,可以灵活的隔离数据,oracle已经实现了VPD,可以直接使用,比在应用层权限控制实现起来较方便,权限维护也比容易。VPD访问控制原理也是使用where语句来控制,只是这个where语句是数据库在操作数据时自动拼接,不是在应用层拼接,而且由事先定义的策略来决定是否拼接条件语句。
下面我来用DBMS_RLS的包来实现如下条件的访问控制功能:
有如下4个用户AM145,AM147,AM148,AM149
1,只能查询OE.CUSTS表,
2,其过滤条件是OE.CUSTS.account_mgr_id=substr(user,3,3)
第一步:创建用户及访问授权
$>sqlplus / as sysdba
create user AM145 identified by AM145;
grant create session to AM145;
grant select on oe.custs to AM145;
create user AM147 identified by AM147;
grant create session to AM147;
grant select on oe.custs to AM147;
create user AM148 identified by AM148;
grant create session to AM148;
grant select on oe.custs to AM148;
create user AM149 identified by AM149;
grant create session to AM149;
grant select on oe.custs to AM149;
第二步:创建function获得where 过滤条件的predicate.函数返回拼接在DML语句的where条件之后的语句,但是where语句并不是执行DML时可见的,系统根绝策略自动添加的,条件来自策略函数的返回值。
vi fun1.sql
create or replace FUNCTION oe.policy_function (object_schema IN VARCHAR2, object_name VARCHAR2)
RETURN VARCHAR2 IS
ls_return varchar2(100);
ls_username varchar2(100);
begin
ls_username := user;
if ls_username like 'AM%' then
ls_return := 'oe.custs.account_mgr_id=substr('||''''||ls_username||''''||',3,3)';
end if;
return ls_return;
end;
/
SQL> @fun1.sql
Function created.
第三步:添加策略
vi myPolicy1.sql
BEGIN
dbms_rls.add_policy(object_schema => 'oe',
object_name => 'custs',
policy_name => 'my_policy1',
function_schema =>'oe',
policy_function => 'policy_function',
statement_types =>'select',
enable=>true);
END;
/
SQL> @myPolicy1.sql
PL/SQL procedure successfully completed.
第四步:验证是否成功
SQL> select account_mgr_id,count(*) from oe.custs group by account_mgr_id;
ACCOUNT_MGR_ID COUNT(*)
-------------- ----------
147 76
149 74
148 58
145 111
SQL> conn AM145/AM145
Connected.
SQL> select count(*) from oe.custs;
COUNT(*)
----------
111
SQL> conn AM147/AM147
Connected.
SQL> select count(*) from oe.custs;
COUNT(*)
----------
76
SQL> conn AM148/AM148
Connected.
SQL> select count(*) from oe.custs;
COUNT(*)
----------
58
SQL> conn AM149/AM149
Connected.
SQL> select count(*) from oe.custs;
COUNT(*)
----------
74
从上面可以看出,对用户AM145,AM147,AM148,AM149的访问控制成功。
Note:删除策略:
SQL> CONN / AS SYSDBA
Connected.
SQL> exec DBMS_RLS.DROP_POLICY('oe', 'CUSTS', 'my_policy1');
PL/SQL procedure successfully completed.
SQL> conn AM145/AM145
Connected.
SQL> select count(*) from oe.custs;
COUNT(*)
----------
319
删除策略后用户AM145,AM147,AM148,AM149是可以看OE表的所有的行数据的。
- DBMS_RLS包实现数据库表行级安全控制
- dbms_rls
- dbms_rls
- dbms_rls
- 利用DBMS_RLS实现VPD 实例
- 数据库---并发控制、完整性约束、数据库安全
- 数据库安全权限控制管理思想
- DBMS_RLS.SHARED_STATIC以及DBMS_RLS.SHARED_CONTEXT_SENSTIVE
- 数据库加密实现数据安全
- iptables 实现地址转换与安全控制
- oracle完整事务控制-包实现
- RequisitePro 7.1中新增的安全机制--包级别的安全控制
- 对操作oracle数据库的用户进行安全权限控制
- 数据库应用安全:如何平衡加密与访问控制
- 如何实现互联网上数据库的安全?
- DBMS_RLS官方参考
- 042 - dbms_rls.add_policy
- 基于角色的安全控制的架构的实现实例
- WPFTreeviewItem
- 行于尘,素心简美
- 常用接口
- 四六级写作出现的问题及对策
- VHDL数据类型 &自定义数据类型
- DBMS_RLS包实现数据库表行级安全控制
- IOS自定义UI组件的外观——使用UIAppearance协议自定义视图
- oracle数据库启动报错,不能启动ASM实例
- 棣莫弗定理和n倍角
- android 屏幕适配
- how to debug a bug
- 深度分析:Android4.3下MMS发送到附件为音频文件(音频为系统内置音频)的彩信给自己,添加音频-发送彩信-接收彩信-下载音频附件-预览-播放(二,发送彩信<2>)
- C++ Primer学习之(8)——标准IO库
- Multitasking the Android Way