如何使用策略组来实现行级别的VPD

最新推荐文章于 2021-07-06 21:48:13 发布
最新推荐文章于 2021-07-06 21:48:13 发布
阅读量146 收藏
点赞数
我们知道可以使用基于行的VPD来隐式修改用户发出的SQL语句,从而限制用户能够查看到的数据。
VPD常用的是策略,不过使用策略组能够实现更大的功能。

1、创建驱动上下文
SQL> connect hsj/oracle
Connected.
SQL> CREATE or replace CONTEXT app_driver USING hsj.apps_context;

Context created.

2、创建设置驱动上下文的包:
SQL> CREATE OR REPLACE PACKAGE hsj.apps_context
is
  PROCEDURE set_driver ( policy_group varchar2 );
end;
/
  2    3    4    5
Package created.

SQL> CREATE OR REPLACE PACKAGE BODY hsj.apps_context
is
  PROCEDURE set_driver ( policy_group varchar2 ) is
    BEGIN
      DBMS_SESSION.SET_CONTEXT('APP_DRIVER', 'ACTIVE_APP', policy_group );
    END;
END;
/
  2    3    4    5    6    7    8
Package body created.

3、设置驱动上下文相关属性:
SQL> begin
  2    begin
  3      dbms_rls.drop_policy_context(
  4        object_schema =>'OE',
  5        object_name => 'ORDERS' ,
  6        namespace => 'APP_DRIVER',
  7        attribute => 'ACTIVE_APP');
  8     exception when others then
  9        null;
 10     end;
 11     dbms_rls.add_policy_context(
 12        object_schema =>'OE',
 13        object_name => 'ORDERS' ,
 14        namespace => 'APP_DRIVER',
 15        attribute => 'ACTIVE_APP');
 16  end;
 17  /

PL/SQL procedure successfully completed.

4、创建oe_app上下文以及设置属性的包
SQL> CREATE or replace CONTEXT oe_app USING hsj.oe_context;

Context created.

SQL> CREATE OR REPLACE PACKAGE oe_context IS
  PROCEDURE set_cust_id;
  FUNCTION cust_order (
    object_schema       VARCHAR2,
    object_name VARCHAR2 )
    RETURN VARCHAR2;
END;
/  2    3    4    5    6    7    8

Package created.

SQL> CREATE OR REPLACE PACKAGE BODY oe_context IS
  2    PROCEDURE set_cust_id
  3    is
  4    BEGIN
  5      apps_context.set_driver('OE_GRP');     -- set the driver
  6    EXCEPTION
  7      WHEN no_data_found THEN
  8        apps_context.set_driver('XX');       -- set the driver
  9    END;
 10
 11    FUNCTION cust_order (
 12      object_schema  VARCHAR2,
 13      object_name    VARCHAR2 )
 14      RETURN VARCHAR2
 15    IS
 16    BEGIN
 17      RETURN 'customer_id = 102';
 18    END cust_order;
 19  END;
 20  /

Package body created.

5、创建ac_app上下文以及设置属性的包
SQL> CREATE or replace CONTEXT ac_app USING hsj.ac_context;

Context created.

SQL> CREATE OR REPLACE PACKAGE ac_context IS
  PROCEDURE set_cust_id;
  FUNCTION cust_order (
    object_schema       VARCHAR2,
    object_name VARCHAR2 )
    RETURN VARCHAR2;
END;
/  2    3    4    5    6    7    8

Package created.

SQL> CREATE OR REPLACE PACKAGE BODY ac_context IS
  2    PROCEDURE set_cust_id
  3    is
  4    BEGIN
  5      apps_context.set_driver('AC_GRP');     -- set the driver
  6    EXCEPTION
  7      WHEN no_data_found THEN
  8        apps_context.set_driver('XX');       -- set the driver
  9    END;
 10
 11    FUNCTION cust_order (
 12      object_schema  VARCHAR2,
 13      object_name    VARCHAR2 )
 14      RETURN VARCHAR2
 15    IS
 16    BEGIN
 17      RETURN 'customer_id = 101';
 18    END cust_order;
 19  END;
 20  /

Package body created.

6、创建策略组:
SQL> begin
  DBMS_RLS.CREATE_POLICY_GROUP('OE', 'ORDERS', 'OE_GRP');
end;
/
  2    3    4
PL/SQL procedure successfully completed.

SQL> begin
  DBMS_RLS.CREATE_POLICY_GROUP('OE', 'ORDERS', 'AC_GRP');
end;
/
  2    3    4
PL/SQL procedure successfully completed.

7、创建策略,并将该策略添加到策略组
SQL> begin
dbms_rls.add_grouped_policy (
 object_schema=>'oe',  object_name=>'orders',
 policy_group =>'oe_grp',
 policy_name => 'oe_security',
 function_schema =>'hsj',
 policy_function => 'oe_context.cust_order');
end;
/
  2    3    4    5    6    7    8    9
PL/SQL procedure successfully completed.

SQL> exec dbms_rls.add_grouped_policy ('oe', 'orders', 'ac_grp', 'ac_security','hsj', 'ac_context.cust_order');

PL/SQL procedure successfully completed.

8、赋予权限
SQL> connect hsj/oracle
Connected.
SQL> grant execute on ac_context to public;

Grant succeeded.

SQL> grant execute on oe_context to public;

Grant succeeded.

9、测试策略组是否生效。
SQL> connect oe/oe
Connected.
SQL> exec hsj.ac_context.set_cust_id;
SQL> select customer_id,order_total from orders;

CUSTOMER_ID ORDER_TOTAL
----------- -----------
        101     78279.6
        101     33893.6
        101       48552
        101     29669.9

SQL> exec hsj.oe_context.set_cust_id;

PL/SQL procedure successfully completed.

SQL> select customer_id,order_total from orders;

CUSTOMER_ID ORDER_TOTAL
----------- -----------
        102     42283.2
        102       10523
        102     10794.6
        102      5610.6

而事实上,oe.orders表里有105条记录:
SQL> connect / as sysdba
Connected.
SQL> select count(*) from oe.orders;

  COUNT(*)
----------
       105

因此很明显,我们设置的策略组生效了。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/9842/viewspace-469871/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/9842/viewspace-469871/

cpbr82909536
关注
vpd安全策略使用
Scarlett
07-30 825
1.首先我们创建用户vpd,并给与一定的权限 create user vpd identified by 123456 grant resource, connect to vpd; grant execute on dbms_rls to vpd; grant select any dictionary to vpd; ALTER USER vpd QUOTA UNLIMITED ON US...
VPD(Virtual Private Database)
彦祖的小号的博客
07-13 1738
VPD可以直接在表,视图和同义词上实施安全策略,提供或列级别的安全性 VPD应用于SELECT, INSERT, UPDATE, INDEX和DELETE命令 VPD是在SQL访问受VPD保护的对象时,SQL被动态地修改加入限制where条件 创建用户并授权 conn sys/oracle as sysdba grant create session to adams identified by john7; grant create session to burlington i..
VPD策略实现级安全性
csdn15515085103的博客
08-30 135
1. 创建VPD策略用户VPD,测试用户ALEXSQL> create user vpd2 identified by vpd3 default tablespace users4 temporary tablespace...
Oracle VPD策略示例
weixin_34218890的博客
12-14 336
1.未创建前使用oe用户登录查询: SQL> select * from orders; ORDER_ID ORDER_DATE ORDER_MO CUSTOMER_ID ORDER_STATUS ORDER_TOTAL SALES_REP_ID PROMOTION_ID ---------- ----------...
Oracle策略使用(dbms_rls.add_policy)
小菜鸟笔记
07-14 5587
数据访问控制权限,是一个在实际项目中用得很平常的问题。比如公司部门,就工资来说,本人只能看到自己的工资信息,不能看到其他同事的信息,部门经理或更高级别的人可以看到他对应权限的信息,看到这里大多数人会选择在View加上Where子句来进数据隔离。此方法编码工作量大、系统适应用户治理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改。除了这种实现,可以采用
oracle Policy的应用--DBMS_RLS.ADD_POLICY
diyyong的专栏
02-20 5915
本文通过以下两篇文章整理所得: http://www.knowsky.com/386463.html http://www.itpub.net/thread-1004775-1-1.html 1 前言   数据访问权限控制,是一个古老而又实际的问题。   在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关金额的字
2.1 基本术语(基本概念)
weixin_42051187的博客
07-06 1137
最后更新2021/07/06 在本节,作者一方面想给读者解释IBM PowerVM的一些基本概念,另一方面要统一双方对一些基本概念的界定和理解。IBM PowerVM几乎所有的组成部件都是IBM独立设计、开发的产品,尽管在IT业界有很多公开的标准可以匹配和遵从,但IT标准仅仅是业界的“共识”,而不是“法规”,也就是说厂商遵守也好,不遵守也罢,并没有什么权威的法律约束。作为IT技术的领导者之一(IBM作为IT技术的领导者是我们不得不承认的事实,而“之一”是IBM不得不承认的事实),IBM引领、参与、影响了无数
Oracle漏洞安全加固.doc
10-07
4. **VPD(虚拟私有数据库)和OLS(操作级别安全)**:VPD用于实现基于级别的安全性,而OLS则允许在列级别实施安全策略。启用这两者可以增强数据隐私。 5. **dvsys用户dbms_macadm对象**:`dbms_macadm`包用于管理...
第9章 数据库安全性.pptx
10-05
TCSEC提供了评估计算机系统敏感信息安全操作可信度的标准,而TDI则是针对数据库管理系统的安全性评估标准,定义了设计和实现中必须满足的安全级别指标,包括安全策略、责任、保证和文档等方面。 数据库安全性控制...
数据库重点复习
点点的博客
12-20 562
第一章 数据库技术的回顾与发展 1. NoSQL的核心理念,简要介绍: CAP理论:对于一个分布式数据库,不可能同时满足一致性(Consistency)、可用性(Availability)和分区容忍性(即可靠性)(Partition Tolerance)三种,只能最多满足其中两种。 最终一致性:指过程松,结果紧,最终结果必须保持一致性。 BASE模型:Basically Available(基本...
Oracle基础包之DBMS_RLS(八)
tianxingyun的专栏
11-06 563
概述 本报只适用于Oracle Enterprise Edition,它用于实现精细访问控制,并且精细访问控制是通过在SQL语句中动态增加谓词(WHERE子句)来实现的. 通过使用ORACLE的精细访问控制特征,可以使不同数据库用户在执相同SQL语句时操作同一张表上的不同数据. 例如多个用户执select * from emp时,各自看到的数不同。A只能看到财务部的记录,B只能看到市场部的数据。 包的组成 add_policy 作用: 用于为表、视图或同义词增加一个安全策略,当执该操作结束是会自动提
EBS技术开发之VPD策略
weixin_30312557的博客
12-04 143
VPD (虚拟专用数据库的简称),主要作用是根据运环境的上下文,隐式的添加条 件。 好处是在数据库层解决细粒度的角色权限访问,避免在中间层写大量代码;坏处 是数据屏蔽的逻辑太隐蔽了,对于分析查找问题带来一定的困扰 一个简单的例子带你体验VPD策略 --1、在APPS 中创建表,赋权给PO, ONT用户 create table hand_vpd_test_tb1 (column1...
ORACLE 安全访问策略VPD与ORA-28132
www_xue_xi的博客
11-14 1680
ORACLE 安全访问策略VPD使用不当导致应用程序SQL语句merge into报错ORA-28132
ORA-28113 VPD策略问题的解决
wonder的地下室
02-16 4905
有同事反馈ORA-28113,在一个视图上增加策略时报错。oracle提供了一种判断策略问题的方法    在USER_DUMP_DEST目录中,例如 user_dump_dest=/ora/ora101/database/admin/V101/udump $ cd /ora/ora101/database/admin/V101/udump $ ls -lt 找刚刚产生的 -rw-rw---- 1 ora101
Oracle VPD
chncaesar的专栏
01-20 5794
VPD = Virtual Private Database。同义词有RLS : Row Level Security, FGAC: Fine Grained Access Control。 用于级访问控制。假设有需求,只有用户'SCOTT'能访问emp表所有记录,其他人只能访问manager以下员工的记录。 CREATE FUNCTION emp_policy(schema_in IN
利用VPD细粒度访问策略实现级安全性 Step By Step
congjukun0600的博客
02-10 125
利用VPD细粒度访问策略实现级安全性 Step By Step[@more@]相关阅读:利用Label Security实现级安全性 Step By StepOracle8i以后的版本都提供了VPD(virtual priv...
[精]Oracle VPD详解(虚拟专用数据库)
热门推荐
苏南生的CSDN博客
09-19 1万+
所谓虚拟专用数据库(VPD)指的是,通过在数据库里进配置,从而让不同的用户只能查看某 个表里的部分数据。VPD分为以下两个级别。 级别:在该级别下,可以控制某些用户只能查看到某些数据。比如,对于销售数据表sales 来说,每个销售人员只能检索出他自己的销售数据,不能查询其他销售人员的销售数据。 列级别:在该级别下,可以控制某些用户不能检索某个表的某个列的值。比如用户HR 下的 employe
mysql实现vpd_VPD(Virtual Private Database) 简单演示
最新发布
05-27
VPD(Virtual Private Database)是一种安全机制,可以在数据库层面对用户进细粒度的数据访问控制。MySQL 5.5及以上版本引入了一个名为“database-level security”的概念,允许用户在数据库层面定义安全策略。以下是一个简单的演示: 1. 创建一个测试表格 ```sql CREATE TABLE test_table (id INT, name VARCHAR(20)); INSERT INTO test_table VALUES (1, 'Alice'), (2, 'Bob'), (3, 'Charlie'); ``` 2. 创建一个包含安全策略的函数 ```sql DELIMITER // CREATE FUNCTION test_security_policy (schema_name VARCHAR(64), table_name VARCHAR(64)) RETURNS VARCHAR(1024) DETERMINISTIC BEGIN DECLARE security_filter VARCHAR(1024); SET security_filter = CONCAT('id <= 2'); RETURN security_filter; END; // DELIMITER ; ``` 此函数将返回一个字符串,其中包含用于限制用户对表格的访问的 SQL 语句。 3. 启用安全策略 ```sql GRANT SELECT ON test_table TO test_user@localhost; SET GLOBAL mysql.security_record_policy = 'test_security_policy'; ``` 此命令将允许 test_user 用户访问 test_table 表格,并启用上一步创建的安全策略函数。 4. 测试 ```sql SELECT * FROM test_table; -- 只返回id=1和id=2的 ``` 注意,由于安全策略将限制返回的数,因此仅返回 id=1 和 id=2 的。 以上就是 MySQL 实现 VPD 的简单演示。实际上,安全策略函数可以更复杂,可以根据当前用户的角色、访问时间、IP 地址等信息来限制访问。同时,MySQL 还提供了许多安全机制,如 SSL/TLS 加密、访问控制、身份验证等,可以在数据库层面确保数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值