FGAC(细粒度访问控制)/VPD

最新推荐文章于 2024-06-16 09:46:44 发布
最新推荐文章于 2024-06-16 09:46:44 发布
阅读量219 收藏
点赞数
文章标签: 数据库
FGAC/VPD可以从安全方面限制用户在行级别的访问权限,对于安全性考虑的应用有很大帮助。
另外,在一些特别特殊的情况下,可以通过它改写用户SQL的谓词(where condition)。
这里step by step做一个例子,以供以后参考。
SQL> show user
USER is "HR"
SQL> create table testfgac as select * from dba_tables;
Table created.
1.建立一个context用来保存希望保存的属性。
SQL>grant administer database trigger,create any trigger,create session,resource,create any procedure to hr
这里用USERNAME来代表当前用户是否是定义的“DB_OWNER”
SQL> create context syscontext using context_package;
Context created.
SQL> create or replace procedure context_package
( username in varchar2)
as
begin
    dbms_session.set_context (
            'SYSCONTEXT',
            'USERNAME',
            username
    );
end;
Procedure created.
2.在sys用户下建立一个login trigger,如果当前用户是'hr',那么设立它的username是hr.
SQL> create or replace trigger context_trig
after logon on database
declare
   username varchar2(50);
begin
   select decode(sys_context('USERENV','SESSION_USER'),'HR',
   'DB_OWNER','NOT_DB_OWNER')
   into username from dual;
   context_package(username);
exception
   when NO_DATA_FOUND then
null;
   when OTHERS then
        raise;
end;
Trigger created.
3.查看login trigger生效没有
SQL>  show user
USER is "SYS"
SQL>  select sys_context('SYSCONTEXT','username') myrole from dual;
MYROLE
--------------------
NOT_DB_OWNER
SQL> conn hr/hr
Connected.
SQL>  select sys_context('SYSCONTEXT','username') myrole from dual;
MYROLE
--------------------
DB_OWNER
4.最重要的一步,建立一个function用来作为返回你想修改的谓词。本例a是对hr用户返回空谓词,对其它用户返回'LAST_ANALYZED<=sysdate-1';本例b是对用户返回owner='session_user'串。

a,
SQL>  create or replace function return_secure
(my_owner in varchar2,
 my_obj in varchar2)
return varchar2
as
   ret varchar2(2000);
begin
select decode(sys_context('SYSCONTEXT','username'),'DB_OWNER',null,'LAST_ANALYZED<=sysdate-1') into ret from dual;
   return ret;
end;
Function created.
b,
SQL>  create or replace function return_sec
(my_owner in varchar2,
 my_obj in varchar2)
return varchar2
as
   ret varchar2(2000);
begin
   select 'owner='||chr(39)||sys_context('USERENV','SESSION_USER')||chr(39) into ret from dual;
   return ret;
end;
Function created.

5.在sys用户下,加上policy,对dml语句和select都生效
SQL>  begin
   dbms_rls.add_policy (
OBJECT_SCHEMA => 'HR',
object_name => 'TESTFGAC',
policy_name => 'my_p',
policy_function => 'RETURN_SECURE',
statement_types => 'INSERT, UPDATE, DELETE, SELECT',
update_check    => TRUE
);
end;
/
PL/SQL procedure successfully completed.
SQL>  begin
   dbms_rls.drop_policy (
OBJECT_SCHEMA => 'HR',
object_name => 'TESTFGAC',
policy_name => 'my_p');
end;
/
 begin
   dbms_rls.add_policy (
OBJECT_SCHEMA => 'HR',
object_name => 'TESTFGAC',
policy_name => 'my_p',
policy_function => 'RETURN_SEC',
statement_types => 'INSERT, UPDATE, DELETE, SELECT',
update_check    => TRUE
);
end;
/
6.测试
SQL> conn hr/hr
Connected.
SQL> select sys_context('SYSCONTEXT','username') username from dual;
USERNAME
------------------------
DB_OWNER
SQL> select count(*) from HR.TESTFGAC;
  COUNT(*)
----------
      1043
SQL> conn scott/tiger
Connected.
SQL> select count(*) from hr.TESTFGAC;
  COUNT(*)
----------
       934

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14359/viewspace-692618/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/14359/viewspace-692618/

congbeili7411
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle中粒度访问控制的工作方式
03-03
粒度访问控制也就是虚拟专用数据库 (VPD) ,它提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎,并且在从教育软件到金融服务等各种应用程序得到采用。VPD 的工作方法是,通过透明地更改对...
论文研究-Oracle VPD-粒度的权限设计方案 .pdf
08-15
Oracle VPD-粒度的权限设计方案,翟慧鑫,邹仕洪,数据资源共享已经成为大家协同工作的基本要求,传统的数据库访问控制模式已经不能很好的保护数据安全,因此更粒度访问控制
FGAC
sslovetuzi的专栏
07-29 149
http://code.google.com/p/cheep-worker oracle性能诊断艺术 SQL沉思录 入侵检测
ORACLE FGAC(粒度权限控制)
coabmixr238253的博客
07-17 287
ORACLE FGAC(粒度权限控制)http://www.itpub.net/thread-1037232-1-1.html粒度访问控制 (FGAC)。FGAC,也称为行级安全性,是一种可以根据数据内容限制访问的...
oracle FGAC粒度访问控制)介绍
老徐的博客只有干货
01-02 5263
在ORACLE中,RLS有时也叫做虚拟私有数据库(VPD)或者粒度访问控制FGAC)。 RLS由8i引进,利用这一特性我们可以对表定义安全策略(并且指明对表的操作类型),实现对用户可以看到或者修改的数据进行限制。 这个功能大部分通过内置包DBMS_RLS实现。下面通过一个实例说明,详情况请查阅官方文档: -----------------------------------------
ORACLE FGAC(粒度权限控制)(转载)
cnmcsdn8786的博客
07-09 213
ORACLE FGAC(粒度权限控制)http://www.itpub.net/thread-1037232-1-1.html 粒度访问控制 (FGAC)。FGAC,也称为行级安全性,是一种可以根据数据内容限制访问的方法。...
粒度权限控制 linux,FGAC(粒度访问控制)/VPD
weixin_29791447的博客
05-03 264
FGAC/VPD可以从安全方面限制用户在行级别的访问权限,对于安全性考虑的应用有很大帮助。另外,在一些特别特殊的情况下,可以通过它改写用户SQL的谓词(where condition)。这里step by step做一个例子,以供以后参考。SQL> show userUSER is "HR"SQL> create table testfgac as select * from dba_...
ORACLE中一个基于角色访问控制VPD设计方案.pdf
10-10
ORACLE中一个基于角色访问控制VPD设计方案.pdf
calc-vpdVPD(蒸气压不足)功能
02-10
VPD(蒸气压不足)功能 水蒸気圧= 6.1078 * 10 ^((7.5-気温/(気温+ 237.3))) 饱和水蒸気量= 217-水蒸気圧/(気温+ 273.15) 饱差=(100-相対湿度)*饱和水蒸気量/ 100 参考: : 安装 $ npm install calc-vpd...
vpd.rar_vpd pci
09-22
Provide PCI VPD support for linux
CMU-MOSEI数据集解读
热门推荐
使用轻刷本卡
10-29 1万+
Multimodal Language Analysis in the Wild:CMU-MOSEI Dataset and Interpretable Dynamic Fusion Graph 作者: Amir Zadeh(Language Technologies Institute,CMU, USA) Paul Pu Liang(Machine Learning Department, CMU, USA) Jonathan Vanbriesen(Language Technologies Inst
oracle行列级权限控制VPD
m0_51192710的博客
06-06 1342
限制访问PDM用户下的表TEST_VPD,政策名称为LIMITED_QUERY_LINE,政策函数为PDM用户下的F_LIMITED_QUERY_LINE,政策类型为SELECT类型,启用该FGAC规则END;SEC_RELEVANT_COLS 要屏蔽的列(用逗号隔开)SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS说明对所有记录屏蔽该列END;
数据库的粒度访问控制
执着之道
08-30 1677
  背景 根据控制对象的粗程度,访问控制可分为粗粒度粒度两种 通常把规定访问整个数据库表或由基本表导出的视图的某个层称为粗粒度访问控制,而粒度控制则是把安全控制化到数据库的行级或列级。 我们给银行上了一套系统,银行的政策允许所有财务经理可以访问所有账户持有人的信息,但在最近,对该政策做了改变只允许财务经理访问特定的客户集,那么为了使应用程序符合新的政策,我们必须对应用程序...
粒度的权限控制
听风的声音
09-15 2309
权限控制,顾名思义,就是对不同的角色显示不同的内容以及给予不同角色不同的操作权限。这里举个非常简单的例子,普通员工只能查看自己发布的消息,而上级领导可以查看底下所有员工发布的消息。 其实权限控制并没有想象中的那么复杂,一般我们在查询列表的时候一般都会用  select * from table 假设我们要筛选列表,只显示部分内容,那么我们必须加上where条件。同理权限控制也是如此,只需要...
Oracle FGAC与FGA的区别
Firefoxboy的空军基地
10-03 1515
导读: 先看一下FGAC:Oracles Fine Grained Access Control (FGAC) provides a row-level security mechanism thats built-in to the Oracle database engine. FGAC allows you to granularly specify the exact inf
Spring Security实现用户认证四:使用JWT与Redis实现无状态认证
不做菜虚困的博客
06-12 741
在基本的通信流程中,我们一般采用Session去存储用户的认证状态。在Spring Security实现用户认证三中讲过,在拿到前端传输过来的用户名和密码之后,会有专门的过滤器处理这部分的需求,并且对认证成功的用户生成Token且存储在Session中。在下次发起请求时,直接从Session中取出同用户名的token进行密码哈希的比较要认证用户。对于无状态认证,则我们的认证不依赖与服务器端存储的Session的状态。所以无状态认证需要我们每次从前端传输一个包含完整认证信息的Token到服务器端进行自定义的认
基于springboot的青年公寓服务平台源码数据库
最新发布
s123456sj的博客
06-16 640
本青年公寓服务平台分为管理员还有用户两个权限,管理员可以管理用户的基本信息内容,可以管理房屋投诉信息以及房屋投诉的租赁信息,能够与用户进行相互交流等操作,用户可以查看房屋信息,可以查看房屋投诉以及查看管理员回复信息等操作。
canal应用
qq_33816292的博客
06-12 138
canal分享模块链接。
mysql 8.0 VPD
05-27
MySQL 8.0引入了VPD(Virtual Private Database)功能,它允许管理员定义基于SQL语句中的谓词...VPD功能的实现依赖于MySQL的安全性模型和访问控制机制,因此需要管理员对MySQL的权限和安全性模型有一定的了解才能使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值