SQL Server 2016新特性:行级别安全控制(Row-Level Security----RLS)

最新推荐文章于 2023-08-17 11:17:21 发布
最新推荐文章于 2023-08-17 11:17:21 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: SQL SERVER SQL Server 2016新特性 文章标签: SQL Server 2016 行级别安全控制 Row-Level Security RLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Burgess_Liu/article/details/51563590
版权

    行级别安全控制(Row-Level Security----RLS)能够让我们根据用户执行查询的特性,来控制对数据库表中的数据行进行访问。RSL能够简化应用程序中安全的设计与编写代码,实现对数据行的访问限制。访问限制的逻辑位于数据库层,而不是在应用程序层分离数据。比如,我们希望各部门的经理只能查看他所在部门的员工的薪资情况,医院的护士只能查看自己所负责的病人的状况等。以往像要实现这样的功能,一般要通过视图或者应用程序层去实现,在提交T-SQL之前,通过WHERE条件来实现数据过滤。而SQL Server 2016引入的RLS,则可以更加简便地实现行级别权限控制。RLS是通过创建安全策略(securitypolicy)和内联表值函数(inline table valued functions)来实现的,RLS过滤判定在功能上相当于WHERE语句

 

        微软的建议:


  • RSL对象(判定函数及安全策略)创建单独的schema

  • ALTER ANYSECURITY POLICY权限专为高度特权用户(比如安全策略管理者)而设。安全策略管理者对他们所保护的表不需要SELECT权限。

  • 为了避免潜在的运行时错误,在判定函数中要避免类型转换。

  • 只要有可能,要避免在判定函数中使用递归,从而避免性能下降。查询优化器会尝试发现直接的递归,但不能保证发现间接的递归。

  • 为了性能最佳化,判定函数中要避免使用过多的表连接。

     

    下面通过MSDN上的示例,感受一下RLS

    示例1创建3个用户,创建一张表并塞入6笔数据,然后为该表创建一个内联表值函数和一个安全策略,最后你可以看到SELECT语句是如何为不同用户过滤数据的。

1.1 创建3个用户

CREATE USER Manager WITHOUT LOGIN;
CREATE USER Sales1 WITHOUT LOGIN;
CREATE USER Sales2 WITHOUT LOGIN;

1.2  建表并塞入6笔数据

CREATE TABLE Sales
    (
    OrderID int,
    SalesRep sysname,
    Product varchar(10),
    Qty int
    );

    INSERT Sales VALUES 
(1, 'Sales1', 'Valve', 5), 
(2, 'Sales1', 'Wheel', 2), 
(3, 'Sales1', 'Valve', 4),
(4, 'Sales2', 'Bracket', 2), 
(5, 'Sales2', 'Wheel', 5), 
(6, 'Sales2', 'Seat', 5);

1.3  为每个用户授读权限

GRANT SELECT ON Sales TO Manager;
GRANT SELECT ON Sales TO Sales1;
GRANT SELECT ON Sales TO Sales2;

1.4  创建一个新的schema和一个内联表值函数。

CREATE SCHEMA Security;
GO

CREATE FUNCTION Security.fn_securitypredicate(@SalesRep AS sysname)
    RETURNS TABLE
WITH SCHEMABINDING
AS
    RETURN SELECT 1 AS fn_securitypredicate_result 
WHERE @SalesRep = USER_NAME() OR USER_NAME() = 'Manager';

1.5  创建一个安全策略,把内联函数作为过滤判定,状态必须设置为ON

CREATE SECURITY POLICY SalesFilter
ADD FILTER PREDICATE Security.fn_securitypredicate(SalesRep) 
ON dbo.Sales
WITH (STATE = ON);

1.6  测试select,可以看到Sales1Sales2只能看到他们自己的数据,而Manager可以看到所有数据。



1.7  禁用策略后,Sales1Sales2都能看到所有数据

ALTER SECURITY POLICY SalesFilter
WITH (STATE = OFF);



示例2该示例演示了中间层应用程序如何实现连接过滤。应用程序在连接数据库之后,在SESSION_CONTEXT里设置当前的应用程序用户ID,这样,安全策略就能过滤掉该ID不该看到的数据,也能阻止插入用户为错误的ID插入数据。

2.1  建表并塞入6笔数据

CREATE TABLE Sales (
    OrderId int,
    AppUserId int,
    Product varchar(10),
    Qty int
);


INSERT Sales VALUES 
    (1, 1, 'Valve', 5), 
    (2, 1, 'Wheel', 2), 
    (3, 1, 'Valve', 4),
    (4, 2, 'Bracket', 2), 
    (5, 2, 'Wheel', 5), 
    (6, 2, 'Seat', 5);

2.2 创建一个低特权用户,应用程式会使用它来连接

-- Without login only for demo
CREATE USER AppUser WITHOUT LOGIN; 
GRANT SELECT, INSERT, UPDATE, DELETE ON Sales TO AppUser;

-- Never allow updates on this column
DENY UPDATE ON Sales(AppUserId) TO AppUser;

2.3 创建一个新的schema和判定函数,该函数使用存放在SESSION_CONTEXT里的应用user ID来过滤数据行

CREATE SCHEMA Security;
GO

CREATE FUNCTION Security.fn_securitypredicate(@AppUserId int)
    RETURNS TABLE
    WITH SCHEMABINDING
AS
    RETURN SELECT 1 AS fn_securitypredicate_result
    WHERE
        DATABASE_PRINCIPAL_ID() = DATABASE_PRINCIPAL_ID('AppUser')  
        AND CAST(SESSION_CONTEXT(N'UserId') AS int) = @AppUserId; 
GO

2.4 创建安全策略

CREATE SECURITY POLICY Security.SalesFilter
    ADD FILTER PREDICATE Security.fn_securitypredicate(AppUserId) 
        ON dbo.Sales,
    ADD BLOCK PREDICATE Security.fn_securitypredicate(AppUserId) 
        ON dbo.Sales AFTER INSERT 
    WITH (STATE = ON);

2.5 模拟连接过滤,在SESSION_CONTEXT里设置不同的user ID,然后查询表Sales实际应用中,应用程序负责在打开连接后,在SESSIION_CONTEXT里设置当前的user ID

EXECUTE AS USER = 'AppUser';
EXEC sp_set_session_context @key=N'UserId', @value=1;
SELECT * FROM Sales;
GO



--  Note: @read_only prevents the value from changing again 
--  until the connection is closed (returned to the connection pool)
EXEC sp_set_session_context @key=N'UserId', @value=2, @read_only=0; 

SELECT * FROM Sales;
GO

INSERT INTO Sales VALUES (7, 1, 'Seat', 12); -- error: blocked from inserting row for the wrong user ID
GO

REVERT;
GO







Burgess_Liu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SSRLSWAM.rar_RLS_SSRLS_fast-rls_memory_state space RLS
07-14
ssrls_wam is a state space recursive algorithm with adaptive memory helpful for the fast cinvergebce as compared to the standard rls
PostgreSQL学习之部署与简单使用
最新发布
SRE成长记
01-04 1478
PostgreSQL学习之部署与简单使用
级安全(Row-Level Security
悦光阴的博客
01-17 301
常规的权限控制,是通过授予和拒绝(Grant/Deny)命令,控制用户对数据库对象(数据表或视图)的访问权限,用户访问的粒度是对象的全部数据,这意味着,用户要么有权限访问该对象,要么没有权限访问该对象,无法实现使特定的数据只允许特定的用户访问,但是,级安全(Row-Level Security,简称 RLS)可以实现该该需求。 RLS根据用户的安全上下文控制用户可以访问的数据RLS主要...
总结postgresql数据结构、安装部署、备份还原、高可用实现,日志管理
weixin_50471413的博客
08-17 919
一、总结pg和mysql的优劣势。 MySQL和PostgreSQL(简称PG)都是流的关系型数据库管理系统(RDBMS),它们在许多方面有着不同的优劣势。以下是对它们的优劣势的总结: MySQL的优势: 性能:MySQL以其高效的查询性能而闻名,适用于高并发的应用程序。 简单易用:MySQL具有较为简单的安装和配置过程,易于上手和管理。 社区支持:MySQL有一个庞大的用户社区,提供了丰富的文档、教程和支持资源。 可扩展性:MySQL能够在处理大量数据时持续提供可靠的性能,并能通过水平和垂直扩展来满
SQL Server数据库级权限
三空道人的博客
02-17 3947
前面博文《SQL Server服务器级权限》介绍了服务器级安全主题的权限,本文将继其之后,来介绍一下数据库级安全主题具有的权限,以及如何赋予、拒绝数据库用户、角色权限,并介绍查看用户、角色具有哪些权限的方法。 本文同样使用sys.fn_builtin_permissions来查看安全主题数据库具有的权限 SELECT * FROM sys.fn_builtin_permissions('...
Postgresql - Row Level Security Policy
chuckchen1222的博客
05-21 1425
Row Level Security Policy 除了通过GRANT提供的SQL标准特权系统之外,表还可以具有安全策略,以每个用户为基础限制哪些可以通过常规查询返回,或者通过数据修改命令插入、更新或删除。此功能也称为级安全性。默认情况下,表没有任何策略,因此,如果用户根据SQL特权系统对表具有访问权限,则表中的所有都同样可用于查询或更新。 当对表启用安全性时(ALTER TABLE...
sql 如何设置级锁_SQL Server 2016中的级安全性
culuo4781的博客
07-27 641
sql 如何设置级锁 With the release of SQL Server 2016 comes many great new features. One of these is the implementation of row level security in the database engine. 随着SQL Server 2016的发布,带来了许多强大的新功能。...
rls数据预测_SQL Server数据安全功能RLS级安全性)和GDPR
culuo4781的博客
07-17 772
rls数据预测 Of late, there’s been a lot of noise around the term, GDPR. Chances are, some of us even had to go through learning sessions targeted at IT professionals to learn about what this new standa...
SQL Server 2016 级别权限控制
weixin_33862993的博客
01-04 329
背景 假如我们有关键数据存储在一个表里面,比如人员表中包含员工、部门和薪水信息。只允许用户访问各自部门的信息,但是不能访问其他部门。一般我们都是在程序端实现这个功能,而在sqlserver2016以后也可以直接在数据库端实现这个功能。 解决 安全已经是一个数据方面的核心问题,每一代的MS数据库都有关于安全方面的新功能,那么在Sql Server 2016,也有很多这方面的升级,比如‘Row Lev...
关于SQL Server 2016级安全、数据掩码特性
luckyrandom的专栏
01-29 1047
SQL Server 2016级安全、数据掩码特性
rls_rails:Ruby on Rails的级安全性
05-20
Ruby on Rails的级安全性级安全性(RLS)是PostgreSQL一项功能(请参阅和 ),它允许您定义规则以检查SELECT,INSERT,UPDATE或DELETE是否正在访问或创建合法。 在多用户应用程序中隔离数据时,RLS为您的应用...
corrosion:Eclipse Corrosion-Eclipse IDE中的Rust版本
05-04
蚀蚀 在Eclipse IDE中进Rust版本和调试 Corrosion是Eclipse IDE的Rust开发插件,通过与Rust Analyzer语言服务器,CargoRunner和gdb调试器集成,提供了丰富的版本体验。 下载/安装 腐蚀 从成熟的Eclipse IDE进...
LMS-RLS滤波器_matlab程序.doc
06-08
LMS和RLS滤波器算法的Matlab实现过程主要程序,全在word文档中间,经过运过后可以正常使用,欢迎下载。
目标主体名称不正确,无法生成 SSPI 上下文。
热门推荐
Burgess_Liu的专栏
01-15 1万+
两台Server,环境一样,都使用同一域账号。Server03的SQL Server可以通过Windows认证连接到Server04,但Server04通过Windows认证连接Server03时报如下错误: 目标主体名称不正确,无法生成 SSPI 上下文。 PING Server03或Ping -a Server03,看起来都正常,问题究竟出在何处呢?无法生成SSPI上下文的原因比较多,具体
如何快速查找某张表在哪些存储过程中被使用
Burgess_Liu的专栏
07-06 1万+
我们可以通过哦下面的SQL语句,快速查找某张表在哪些存储过程中被使用: SELECT DISTINCT o.name, o.xtype FROM syscomments c INNER JOIN sysobjects o ON c.id=o.id WHERE c.TEXT LIKE '%Tablename%'
消息5061,ALTER DATABASE 失败
Burgess_Liu的专栏
04-19 1万+
今天在ALTER DATABASE时,突然遇到如下错误: 消息5601,级别16,状态1,第1,由于无法在数据库 'TestNonContainedDB' 上放置锁,ALTER DATABASE 失败。请稍后再试。消息5069,级别16,状态1,第一ALTER DATABASE 语句失败。 对应的英文信息是:Msg 5061, Level 16, State 1, Line 1 ALTER
SQL Server 2012 AlwaysOn探索(上)
Burgess_Liu的专栏
09-25 1万+
毫无疑问,HA或DR对Production DB是至关重要的,原因不必解释。在SQL Server的早期版本,我们可以使用故障转移群集、数据库镜像、日志传递、复制来实现我们需要的HA或DR,但它们均有优缺点: 故障转移群集又称为Failover Cluster。此技术使用的共享存储技术,不涉及到底层数据的同步问题,因此可以认为群集的最大好处就是性能较高,但存储会成为整个群集技术中的单点故障。
QR-RLS算法和RLS算法对比
12-12
QR-RLS算法和RLS算法都是用于数字信号处理中的自适应滤波算法,它们的主要区别在于QR-RLS算法采用了Givens旋转来提高运算效率,从而更快地实现数字预失真模型的收敛。相比之下,RLS算法的计算复杂度较高,但是在一些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值