oracle FGAC(细粒度访问控制)介绍

最新推荐文章于 2024-02-03 06:45:29 发布
最新推荐文章于 2024-02-03 06:45:29 发布
阅读量5.2k 收藏 1
点赞数
分类专栏: # PL/SQL开发 文章标签: FGAC VPD RLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IndexMan/article/details/17735187
版权

在ORACLE中,RLS有时也叫做虚拟私有数据库(VPD)或者细粒度访问控制(FGAC)。

RLS由8i引进,利用这一特性我们可以对表定义安全策略(并且指明对表的操作类型),实现对用户可以看到或者修改的数据进行限制。

这个功能大部分通过内置包DBMS_RLS实现。下面通过一个实例说明,详细情况请查阅官方文档:

-----------------------------------------------------------------------------------------------------------------------------------

环境:11.2.0.1.0 - 64bit


实现效果:SCOTT下新建一张客户表和订单表:CUSTOMERS、orders_tab,实现客户表内用户登录只能看到自己的订单;


1、创建用户账户和示例表:

 dba用户登录:

GRANT CREATE SESSION, CREATE ANY CONTEXT, CREATE PROCEDURE, CREATE TRIGGER, ADMINISTER DATABASE TRIGGER TO sysadmin_vpd IDENTIFIED BY password;
GRANT EXECUTE ON DBMS_SESSION TO sysadmin_vpd;
GRANT EXECUTE ON DBMS_RLS TO sysadmin_vpd;

GRANT CREATE SESSION TO tbrooke IDENTIFIED BY password;
GRANT CREATE SESSION TO owoods IDENTIFIED BY password;

CONNECT scott
Enter password: password

CREATE TABLE customers (
 cust_no    NUMBER(4), 
 cust_name  VARCHAR2(20));

INSERT INTO customers VALUES (1234, 'TBROOKE');
INSERT INTO customers VALUES (5678, 'OWOODS');

GRANT SELECT ON customers TO sysadmin_vpd;


CREATE TABLE orders_tab (
  cust_no  NUMBER(4),
  order_no NUMBER(4));

INSERT INTO orders_tab VALUES (1234, 9876);
INSERT INTO orders_tab VALUES (5678, 5432);
INSERT INTO orders_tab VALUES (5678, 4592);

GRANT SELECT ON orders_tab TO tbrooke;
GRANT SELECT ON orders_tab TO owoods;


2、创建基于会话的应用程序上下文:

CONNECT sysadmin_vpd
Enter password: password

CREATE OR REPLACE CONTEXT orders_ctx USING orders_ctx_pkg;

CREATE OR REPLACE PACKAGE orders_ctx_pkg IS 
  PROCEDURE set_custnum;
 END;
/
CREATE OR REPLACE PACKAGE BODY orders_ctx_pkg IS
  PROCEDURE set_custnum
  AS
    custnum NUMBER;
  BEGIN
     SELECT cust_no INTO custnum FROM scott.customers
        WHERE cust_name = SYS_CONTEXT('USERENV', 'SESSION_USER');
     DBMS_SESSION.SET_CONTEXT('orders_ctx', 'cust_no', custnum);
  EXCEPTION
   WHEN NO_DATA_FOUND THEN NULL;
  END set_custnum;
END;
/

3、创建登录触发器调用应用程序上下文包: 

CREATE TRIGGER set_custno_ctx_trig AFTER LOGON ON DATABASE
 BEGIN
  sysadmin_vpd.orders_ctx_pkg.set_custnum;
 END;
/

4、创建策略函数(policy function): 

CREATE OR REPLACE FUNCTION get_user_orders(
  schema_p   IN VARCHAR2,
  table_p    IN VARCHAR2)
 RETURN VARCHAR2
 AS
  orders_pred VARCHAR2 (400);
 BEGIN
  orders_pred := 'cust_no = SYS_CONTEXT(''orders_ctx'', ''cust_no'')'; 
 RETURN orders_pred;
END;
/

5、创建安全策略(security policy): 

BEGIN
 DBMS_RLS.ADD_POLICY (
  object_schema    => 'scott', 
  object_name      => 'orders_tab', 
  policy_name      => 'orders_policy', 
  function_schema  => 'sysadmin_vpd',
  policy_function  => 'get_user_orders', 
  statement_types  => 'select');
END;
/

6、测试安全策略: 

CONNECT tbrooke
Enter password: password

SELECT * FROM scott.orders_tab;

The following output should appear:

   CUST_NO    ORDER_NO
----------  ----------
      1234        9876

CONNECT owoods
Enter password: passwords

SELECT * FROM scott.orders_tab

The following output should appear:

   CUST_NO    ORDER_NO
----------  ----------
      5678        5432
      5678        4592


7、移除示例组件:

  1. Connect as user OE and remove the orders_tab and customers tables.

    CONNNECT SCOTT
Enter password: password

DROP TABLE orders_tab;
DROP TABLE customers;

  2. Connect as user SYS, connecting with AS SYSDBA.

    CONNECT sys/as sysdba
Enter password: password

  3. Run the following statements to drop the components for this tutorial:

    DROP CONTEXT orders_ctx;
DROP USER sysadmin_vpd CASCADE;
DROP USER tbrooke;
DROP USER owoods;

------------------------------

Dylan    Presents.








                

        

        

    




    

      

        

            

              
                
                  罗汉爷
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
细粒度访问控制

				
			

			

				

					05-29
				

			

		

		

			
				
细粒度访问控制经典文章,基于风险访问控制细粒度访问控制,增加系统的可访问性和安全性

			
		

	



                

              
                



	

		

			

				
					
ORACLE FGAC(细粒度权限控制)(转)

				
			

			

				

					cqq1799的博客
				

				

					09-17
					
					162
					
				

			

		

		

			
				
ORACLE FGAC(细粒度权限控制)转自:http://www.itpub.net/thread-1037232-1-1.html
--主要完成ORACLE fine-grained access control , 以及...

			
		

	



                


  
              

                


	

		

			

				
					
redis之相思而不得见-细粒度访问控制列表ACL

				
			

			

				

					happytree001的博客
				

				

					11-26
					
					1464
					
				

			

		

		

			
				
# 一、简介
对于早期的redis,在安全访问控制方面非常的弱,使用默认配置的话,能访问redis服务的任何人都能连接上服务,进行数据的操作,简直就是在裸奔一样;
在redis2.2之前的版本最多也只能通过requirepass配置一个密码,任何知道密码的人也可以连接上redis进行删库跑路 ???? ,并且redis6之前的传输都是基于TCP明文传输的,直接抓个包就看到密码了,无密码可言;
为了防止一些人对redis操作非常危险的命令,比如删库命令flushall等,在redis2.2.0开始可以通过re

			
		

	





	

		

			

				
					
细粒度访问控制-VPD

				
			

			

				

					ckrsktoni24621798的博客
				

				

					04-26
					
					269
					
				

			

		

		

			
				
1、创建测试环境conn sys/password as sysdbacreate user HJP identified by password default tablespace users temporary table...

			
		

	



		

			
		



	

		

			

				
					
oracle访问控制策略,Oracle细粒度访问控制的基本工作方式

				
			

			

				

					weixin_31693025的博客
				

				

					04-08
					
					445
					
				

			

		

		

			
				
我们都了解Oracle细粒度访问控制的相关工作方式。即 ,细粒度访问控制其实就是虚拟化,专用数据库 (VPD) ,它可以提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎,并且在从教育软件到金融服务等各种应用程序得到采用。VPD 的工作方法是,通过透明地更改对数据的请求,基于一系列定义的标准向用户提供表的局部视图。在运行时,所有查询都附加了谓词,以便筛选出准许用户看到...

			
		

	





	

		

			

				
					
oracle 虚拟专用数据库详细介绍

				
			

			

				

					09-09
				

			

		

		

			
				
Oracle虚拟专用数据库(Virtual Private Database, VPD)是一种高级安全机制,它允许数据库管理员限制不同用户访问特定的数据,实现细粒度访问控制VPD主要用于保护敏感信息,确保数据隔离,使得用户只能看到他们...

			
		

	





	

		

			

				
					
Oracle 19C OCP课堂笔记.zip

				
			

			

				

					12-23
				

			

		

		

			
				
 - **Fine-Grained Access Control (FGAC)**: 提供细粒度的权限控制,以限制对敏感数据的访问。  - **Virtual Private Database (VPD)**: 在行级别应用安全策略,以实现数据的隔离和安全性。  - **Data Redaction**:...

			
		

	





	

		

			

				
					
oracle11.2安装包.zip

				
			

			

				

					03-05
				

			

		

		

			
				
 - **精细访问控制**:增加了Fine-Grained Access Control (FGAC),提供了更细粒度的权限管理。  - **透明数据加密**:增强了 Transparent Data Encryption (TDE),可以对表空间进行全盘加密,保护敏感数据。  - **...

			
		

	





	

		

			

				
					
Oracle11g数据库

				
			

			

				

					11-28
				

			

		

		

			
				
 提供了更细粒度的权限控制,增强了数据安全性,允许管理员设置行级和列级的访问权限。  8. **SecureFiles**  SecureFiles引入了对大型对象(LOBs)的支持,提高了性能,同时提供了加密和压缩功能。  9. **PL/SQL ...

			
		

	





	

		

			

				
					
oracle行列级权限控制(VPD

				
			

			

				

					m0_51192710的博客
				

				

					06-06
					
					1453
					
				

			

		

		

			
				
限制访问PDM用户下的表TEST_VPD,政策名称为LIMITED_QUERY_LINE,政策函数为PDM用户下的F_LIMITED_QUERY_LINE,政策类型为SELECT类型,启用该FGAC规则END;SEC_RELEVANT_COLS 要屏蔽的列(用逗号隔开)SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS说明对所有记录屏蔽该列END;

			
		

	





	

		

			

				
					
vpd列级权限控制举例

				
			

			

				

					07-15
				

			

		

		

			
				
oracle数据安全介绍与简明使用之:vpd列级权限控制举例

			
		

	





	

		

			

				
					
Oracle细粒度访问控制的工作方式

				
			

			

				

					03-03
				

			

		

		

			
				
细粒度访问控制也就是虚拟专用数据库 (VPD) ,它提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎,并且在从教育软件到金融服务等各种应用程序得到采用。VPD 的工作方法是,通过透明地更改对数据的请求,基于一系列定义的标准向用户提供表的局部视图。在运行时,所有查询都附加了谓词,以便筛选出准许用户看到的行。例如,如果只允许用户查看帐户管理员 SCOTT 的帐户,则 VPD 设置自动地将查询。

			
		

	





	

		

			

				
					
细粒度权限控制 linux,FGAC(细粒度访问控制)/VPD

				
			

			

				

					weixin_29791447的博客
				

				

					05-03
					
					267
					
				

			

		

		

			
				
FGAC/VPD可以从安全方面限制用户在行级别的访问权限,对于安全性考虑的应用有很大帮助。另外,在一些特别特殊的情况下,可以通过它改写用户SQL的谓词(where condition)。这里step by step做一个例子,以供以后参考。SQL> show userUSER is "HR"SQL> create table testfgac as select * from dba_...

			
		

	





	

		

			

				
					
高级权限控制 - 个性化和细粒度的访问权限

				
			

			

				

					m0_52343631的博客
				

				

					10-04
					
					114
					
				

			

		

		

			
				
通过实现高级的权限控制策略,您可以为用户提供个性化和细粒度的访问权限管理功能。这些功能对于文件存储和共享平台至关重要,可以确保数据的安全性、隐私保护以及合规性。请注意,本文中的示例代码仅为示范目的,实际项目中可能需要更多的功能和安全性措施,如审计日志和权限继承规则。高级权限控制是一个复杂的话题,可以根据项目需求进行深入研究和定制。

			
		

	





	

		

			

				
					
数据库的细粒度访问控制

				
			

			

				

					执着之道
				

				

					08-30
					
					1701
					
				

			

		

		

			
				
 

背景

根据控制对象的粗细程度,访问控制可分为粗粒度和细粒度两种 通常把规定访问整个数据库表或由基本表导出的视图的某个层称为粗粒度的访问控制,而细粒度控制则是把安全控制细化到数据库的行级或列级。
我们给银行上了一套系统,银行的政策允许所有财务经理可以访问所有账户持有人的信息,但在最近,对该政策做了改变只允许财务经理访问特定的客户集,那么为了使应用程序符合新的政策,我们必须对应用程序...

			
		

	





	

		

			

				
					
如何在云环境中实现细粒度访问控制

					
最新发布

				
			

			

				

					图幻未来的博客
				

				

					02-03
					
					297
					
				

			

		

		

			
				
传统的基于角色的访问控制是一种广泛应用于IT领域的安全管理方法,它为每个角色分配一组预定义的权限来限制其对资源的操作和访问.但是,由于云计算环境的高度动态性且资源和服务经常更新换代,传统RBAC很难适应这种快速变更的要求.此外,在云中部署应用程序时,需要为不同的用户分配合适的角色以授予其必要的系统访问能力,但手动为用户创建和管理如此多的角色可能会导致人为错误和资源浪费.**1.1 基于角色的访问控制(RBAC)****1.2 基于属性的访问控制(ABAC)****2.2 多因素认证和多源数据安全设计**

			
		

	





	

		

			

				
					
说说关于访问控制模型

					
热门推荐

				
			

			

				

					Daisy花园
				

				

					01-22
					
					1万+
					
				

			

		

		

			
				
**前言**前段时间一直在帮导师写论文,虽然在实验室之余,本人致力于学习前端技术(好想在这里加一个坏笑的表情),但是云计算的学习不能中断啊,论文不能停。。。。也就说一下对访问控制的理解,表示我还是一个研究生。 
在信息环境中,访问控制主要用来确保信息不会被非法访问。在访问控制的安全机制中,经过合法授权的实体能够对请求的资源进行合法的访问,而未经过授权的实体则不能访问所请求的资源。因而,访问控制的目的

			
		

	





	

		

			

				
					
oracle三种权限级别,ORACLE FGAC(细粒度权限控制)

				
			

			

				

					weixin_42548961的博客
				

				

					04-05
					
					416
					
				

			

		

		

			
				
--主要完成ORACLE fine-grained access control , 以及使用存储过程进行权限封装/*Oracle fine-grained access control 可以实现数据库对象行级别的权限控制 以下测试表为例: manager 只可以更改自己的 employee的行, 而不可以更改其它mananger 所拥有的employee 的行 */CONNECT system/...

			
		

	





	

		

			

				
					
ORACLE FGAC(细粒度权限控制)(转载)

				
			

			

				

					cnmcsdn8786的博客
				

				

					07-09
					
					217
					
				

			

		

		

			
				
ORACLE FGAC(细粒度权限控制)http://www.itpub.net/thread-1037232-1-1.html
细粒度访问控制 (FGAC)。FGAC,也称为行级安全性,是一种可以根据数据内容限制访问的方法。...

			
		

	





	

		

			

				
					
Oracle库存介绍.pptx

				
			

			

				

					11-21
				

			

		

		

			
				
Oracle库存介绍.pptx

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值