视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
DBMS_RLS包实现数据库表行级安全控制
2020-11-09 15:04:24 责编:小采
文档
点击下载本文 文档为doc格式


DBMS_RLS 是实现数据库表行级别安全控制的,这个包包含精细访问控制管理接口,这个接口是用来实现VPD(Virtual Private Database),虚拟私有数据库。DBMS_RLS只能在ORACLE的企业版(Enterpris Edition Only)本才可以用。oracle ebs 的权限是用这个来管理的。在

DBMS_RLS 是实现数据库表行级别安全控制的,这个包包含精细访问控制管理接口,这个接口是用来实现VPD(Virtual Private Database),虚拟私有数据库。DBMS_RLS只能在ORACLE的企业版(Enterpris Edition Only)本才可以用。oracle ebs 的权限是用这个来管理的。在数据库的数据安全访问的解决上,有很多的方法来解决权限的问题,有的是通过功能模块来控制访问权限的,有的是用建立视图的方法控制,例如查询语句中加where语句来控制。但是用view的方法时,当表结构或者权限变更的时候就很不容易操作,编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改;用where语句可以解决问题但是安全性不好,只能在应用程序级别才能控制,绕开应用程序就无法控制。

Oracle VPD 技术在数据库级别的安全控制有效的解决了数据访问操作的权限问题,可以对数据库对象进行访问控制,可以灵活的隔离数据,oracle已经实现了VPD,可以直接使用,比在应用层权限控制实现起来较方便,权限维护也比容易。VPD访问控制原理也是使用where语句来控制,只是这个where语句是数据库在操作数据时自动拼接,不是在应用层拼接,而且由事先定义的策略来决定是否拼接条件语句。

下面我来用DBMS_RLS的包来实现如下条件的访问控制功能:
有如下4个用户AM145,AM147,AM148,AM149
1,只能查询OE.CUSTS表,
2,其过滤条件是OE.CUSTS.account_mgr_id=substr(user,3,3)

第一步:创建用户及访问授权
$>sqlplus / as sysdba
create user AM145 identified by AM145;
grant create session to AM145;
grant select on oe.custs to AM145;
create user AM147 identified by AM147;
grant create session to AM147;
grant select on oe.custs to AM147;
create user AM148 identified by AM148;
grant create session to AM148;
grant select on oe.custs to AM148;
create user AM149 identified by AM149;
grant create session to AM149;
grant select on oe.custs to AM149;

第二步:创建function获得where 过滤条件的predicate.函数返回拼接在DML语句的where条件之后的语句,但是where语句并不是执行DML时可见的,系统根绝策略自动添加的,条件来自策略函数的返回值。
vi fun1.sql
create or replace FUNCTION oe.policy_function (object_schema IN VARCHAR2, object_name VARCHAR2)
RETURN VARCHAR2 IS
ls_return varchar2(100);
ls_username varchar2(100);
begin
ls_username := user;
if ls_username like 'AM%' then
ls_return := 'oe.custs.account_mgr_id=substr('||''''||ls_username||''''||',3,3)';
end if;
return ls_return;
end;
/

SQL> @fun1.sql

Function created.

第三步:添加策略
vi myPolicy1.sql
BEGIN
dbms_rls.add_policy(object_schema => 'oe',
object_name => 'custs',
policy_name => 'my_policy1',
function_schema =>'oe',
policy_function => 'policy_function',
statement_types =>'select',
enable=>true);
END;
/

SQL> @myPolicy1.sql

PL/SQL procedure successfully completed.

第四步:验证是否成功
SQL> select account_mgr_id,count(*) from oe.custs group by account_mgr_id;

ACCOUNT_MGR_ID COUNT(*)
-------------- ----------
147 76
149 74
148 58
145 111


SQL> conn AM145/AM145
Connected.
SQL> select count(*) from oe.custs;

COUNT(*)
----------
111

SQL> conn AM147/AM147
Connected.
SQL> select count(*) from oe.custs;

COUNT(*)
----------
76

SQL> conn AM148/AM148
Connected.
SQL> select count(*) from oe.custs;

COUNT(*)
----------
58

SQL> conn AM149/AM149
Connected.
SQL> select count(*) from oe.custs;

COUNT(*)
----------
74

从上面可以看出,对用户AM145,AM147,AM148,AM149的访问控制成功。

Note:删除策略:
SQL> CONN / AS SYSDBA
Connected.
SQL> exec DBMS_RLS.DROP_POLICY('oe', 'CUSTS', 'my_policy1');

PL/SQL procedure successfully completed.

SQL> conn AM145/AM145
Connected.
SQL> select count(*) from oe.custs;

COUNT(*)
----------
319
删除策略后用户AM145,AM147,AM148,AM149是可以看OE表的所有的行数据的。

下载本文
显示全文
专题
动视 51dongshi.net 版权所有
Copyright © 2019-2025