OracleVPD—20100323.doc

采用oracle的dbms_rls包实现数据访问控制?? 在大部份系统中，权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如：某某人可以进入某个控制，仓库不充许查看有关部门的字段等等)。　　但在某些系统中，权限控制又必须定义到数据行访问权限的控制，此需求一般出现在同一系统，不同的相对独立机构使用的情况。(如：集团下属多个子公司，所有子公司使用同一套数据表，但不同子公司的数据相对隔离), 绝大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、系统适应用户管理体系的弹性空间较小，一旦权限逻辑发生变动，就可能需要修改权限体系，导致所有的View都必须修改。　　本文探讨的使用Oracle提供的Policy管理方法来实现数据行的隔离注意:这里的policy是在9i上测试,8i的policy是不同9i的,但是原理是一样的. (1)建立测试数据表(t_policy): CREATE TABLE T_POLICY(? T1? VARCHAR2(10 BYTE),? T2? NUMBER(10)); insert into t_policy values(a,10);insert into t_policy values(b,20);insert into t_policy values(c,30);commit; ? (2)建立测试policy的函数: CREATE OR REPLACE function Fn_GetPolicy(P_Schema In Varchar2,P_Object In Varchar2) return varchar2 is? Result varchar2(1000);begin? Result:=t2 not in (10);? return(Result);end Fn_GetPolicy;/ (3)加入policy: declareBeginDbms_Rls.Add_Policy(Object_Schema =niegc,? --数据表(或视图)所在的Schema名称Object_Name =T_Policy, --数据表(或视图)的名称Policy_Name =T_TestPolicy, --POLICY的名称，主要用于将来对Policy的管理Function_Schema =NIEGC,? --返回Where子句的函数所在Schema名称Policy_Function =Fn_GetPolicy, --返回Where子句的函数名称Statement_Types =Select,Insert,Update,Delete, --要使用该Policy的DML类型，如Select,Insert,Update,DeleteUpdate_Check =True, --仅适用于Statement_Type为Insert,Update，值为True或FalseEnable =True??? --是否启用，值为True或False);end; 注：如果Update_Check设为True，则用户插入的值不符合Policy_Function返回条件时，该DML执行返回错误信息。 现在就可以工作了:select * from t_policy;看看结果怎样, 是不是少了t2=10这项了. ? (4)删除policy declarebegin?dbms_rls.drop_policy(niegc,T_POLICY,T_TESTPOLICY);end; ? (5)设置policy的状态declarebegin?dbms_rls.enable_policy(niegc,t_policy,t_testpolicy,false);end; ? (6)查看policy可以通过user_policies这个表看到. ? 2006-10-02 23:55 于杭州滨江 9.3.5 使用VPD实现应用程序安全策略(1)  HYPERLINK  ?2009-01-20 10:39 ?刘伟琴 ?清华大学出版社 ? HYPERLINK /php/feedbackt.php?id=107464 我要评论() 摘要：《Oracle Database 11gDBA手册》将介绍Oracle 11g最新的特性以及如何将这些特性结合到Oracle数据库管理中。第9章讲述数据库安全性和审计。本节说的是使用VPD实现应用程序安全策略。 虚拟专用数据库(Virtual Private Database，VPD)将服务器实施的细粒度访问控制和安全应用程序上下文结合起来。支持上下文的函数返回一个谓词，即where子句，该