56.精细访问控制使用户可以使用函数、策略实现更加细微的安全访问控制。如果使用精细访问控制,那么当在客户端发出SQL语句(SELECT、INSERT、UPDATE、DELETE)时,Oracle会自动在这些SQL语句后追加谓词(where子句),并执行新的SQL语句。通过使用精细访问控制,可以使不同数据库用户在访问相同表时返回不同数据。
应用上下文(Application Context)用于存放用户会话的相关属性信息,使用应用上下文可以定义、设置和访问应用属性。使用精细访问控制时,必须建立应用上下文。DBA可以使用CREATE CONTEXT命令手工建立专门的应用上下文。
USERENV是Oracle为其应用程序提供的默认应用上下文。常用属性如下:
TERMINAL
LANGUAGE
NLS_DATE_FORMAT
SESSION_USER
CURRENT_SCHEMA
DB_NAME
HOST
OS_USER
自定义应用上下文
CREATE CONTEXT contextname USING username.packagename
取得上下文属性值
Select sys_context(‘userenv’,’language’) from dual;
设置上下文属性
自定义上下文没有任何默认属性,其属性需要使用包DBMA_SESSION中的过程SET_CONTEXT进行设置。
EXEC DBMS_SESSION.SET_CONTEXT(‘empenv’,’deptno’,20);
实现精细访问控制
建立应用上下文
create or replace context empenv using scott.ctx;
建立包过程设置应用上下文属性
create or replace package scott.ctx as
procedure set_deptno;
end;
create or replace package body scott.ctx as
procedure set_deptno is
id number;
begin
if sys_context('userenv','session_user')='JONES' then
dbms_session.set_context('empenv','deptno',20);
elsif sys_context('userenv','session_user')='BLAKE' then
dbms_session.set_context('empenv','deptno',30);
else
dbms_session.set_context('empenv','deptno',10);
end;
end;
建立登录触发器,必须以sys用户身份建立登录触发器
create or replace trigger login_tring
after logon on database call scott.ctx.set_deptno
建立策略函数
create or replace package scott.emp_security as
function emp_sec(p1 varchar2,p2 varchar2) return varchar2;
end;
create or replace package body scott.emp_security as
function emp_sec(p1 varchar2,p2 varchar2) return varchar2
is
d_predicate varchar2(2000);
begin
if user not in ('SYS','SYSTEM','SCOTT') then
d_predicate := 'deptno = sys_context("empenv","deptno")';
return d_predicate;
end if;
return '1=1';
end;
end;
增加策略,定义对象、策略、策略函数以及SQL语句之间的对应关系
execute dbms_rls.add_policy('scott','emp','emp_policy','scott','emp_security.emp_sec','select');
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
