细粒度访问控制(Fine-Grained access control)的一个简单例子

最新推荐文章于 2021-11-26 21:47:40 发布
最新推荐文章于 2021-11-26 21:47:40 发布
阅读量584 收藏
点赞数
文章标签: 区块链 数据库

限制用户只能从ad.t0320_2表中查询到和自己用户名匹配的记录,例如:A用户登陆后,执行select * from ad.t0320_2,在FGAC的作用下,相当于为这条语句增加了一个隐含的条件where username='A',等于执行了select * from ad.t0320_2 where username='A'仅返回符合username='A'这一条件的记录,实现方法如下

###connect SYS,赋予必要的权限给ad用户
grant create any context to ad;
grant ADMINISTER DATABASE TRIGGER to ad;

###connect ad
---创建测试表
create table t0320_1 as select * from all_users;
create table t0320_2 as select * from all_users;

set pagesize 120
select * from t0320_1;

USERNAME                          USER_ID CREATED
------------------------------ ---------- -----------------
LIVREORG                              167 20140922 15:28:42
PRECISE_CLIENT1                       129 20121018 15:05:25
PRECISE_CLIENT2                       130 20121018 15:05:32
AD                                     53 20120921 08:52:05
AID                                   100 20121008 15:43:04
BD                                     54 20120921 08:52:06
CD                                     55 20120921 08:52:06
TSBZ                                  156 20131021 15:17:02
PD                                     57 20120921 08:52:06
SD                                     58 20120921 08:52:06
UD                                     59 20120921 08:52:06
TYCXCL                                158 20140424 13:41:43
POWERQUERY                            107 20121012 16:33:04
MIG                                    73 20120921 16:20:35
OB60                                   79 20120921 20:38:26
ID                                     92 20121006 17:31:35
MD                                     93 20121006 17:32:00
ZD                                     94 20121006 17:32:00
WANGGUAN                              104 20121009 10:04:09
JD                                    111 20121016 22:12:33
REAL_DSG_AICBS                        131 20121103 19:09:16
MNG                                   136 20121212 11:08:44
POWERCZ                               150 20130131 16:09:17
POWERUSER                             140 20121218 15:56:50
DSSUSER                               139 20121217 10:58:45
POB                                   141 20121226 19:50:44
BOSSJH                                151 20130222 20:36:02
DIP                                    14 20120920 14:59:43
ORACLE_OCM                             21 20120920 15:00:40
DSG                                    80 20120929 13:08:58
CAPES                                 154 20130415 17:56:32
DMONITOR                              153 20130311 10:40:45
DBSNMP                                 30 20120920 15:07:49
APPQOSSYS                              31 20120920 15:07:51
WMSYS                                  32 20120920 15:08:52
EXFSYS                                 42 20120920 15:17:08
CTXSYS                                 43 20120920 15:17:24
OLAPSYS                                46 20120920 15:18:50
SYSMAN                                 50 20120920 15:20:21
XDB                                   127 20121018 10:32:54
AVCOLLUSER                            148 20130122 23:19:44
SYS                                     0 20120920 14:55:29
SYSTEM                                  5 20120920 14:55:29
OUTLN                                   9 20120920 14:55:31
MGMT_VIEW                              52 20120920 15:24:06

---创建一个有权设置application context属性的package,这个package的功能是为t0320_ctx这个context创建一个名为uid的属性,并将该属性赋值成从ad.t0320_1表里得到的user_id,这个user_id是根据登陆的用户名匹配得到的
create or replace package t0320_pkg_set_ctx is
procedure t0320_prc_set_ctx;
end;
/

create or replace package body t0320_pkg_set_ctx is
procedure t0320_prc_set_ctx is
v_userid number;
begin
select user_id into v_userid from ad.t0320_1 where username=sys_context('userenv','session_user');
dbms_session.set_context(namespace=>'t0320_ctx',attribute=>'uid',value=>v_userid);
end;
end;
/


---赋予ad.t0320_pkg_set_ctx的执行权限给public
grant execute on ad.t0320_pkg_set_ctx to public;

---创建secure application context,指定使用ad.t0320_pkg_set_ctx才能修改context属性
create context t0320_ctx using ad.t0320_pkg_set_ctx;


---创建一个logon trigger,根据登陆的用户调用t0320_prc_set_ctx设置context
CREATE OR REPLACE TRIGGER cap_login_info
  AFTER LOGON ON DATABASE
  BEGIN
    ad.t0320_pkg_set_ctx.t0320_prc_set_ctx;
  EXCEPTION
    WHEN OTHERS THEN
      RAISE_APPLICATION_ERROR
        (-20000, 'Unexpected error: '|| DBMS_Utility.Format_Error_Stack);
 END;
/


------创建一个package,该package包含一个function,该function用于返回动态条件,创建安全策略的时候会指向这个package,安全策略函数里必须包含两个Varchar2类型的入参,设计这两个入参的用途是能够根据不同的对象生成不同的条件,不管我们是否用到这两个入参,定义时必须要把它们包括进来,否则在对表进行操作时会遇到ORA-28112: failed to execute policy function错误
create or replace package t0320_pkg_policy is
function t0320_func_policy(d1 varchar2,d2 varchar2) return varchar2;
end;
/

create or replace package body t0320_pkg_policy is
function t0320_func_policy(d1 varchar2,d2 varchar2) return varchar2 is
v_predicate varchar2(1000);
begin
v_predicate:='user_id=sys_context(''t0320_ctx'',''uid'')';
return v_predicate;
end;
end;
/

---对t0320_1表添加安全策略
exec dbms_rls.add_policy(object_schema=>'ad',object_name=>'t0320_2',policy_name=>'t0320_pol1',function_schema=>'ad',policy_function=>'t0320_pkg_policy.t0320_func_policy');


---将表ad.t0320_2的访问权限赋给ud、zd用户
grant select on ad.t0320_2 to zd,ud;


---使用不同的用户登陆数据库后Select * from t0320_1,观察select到的记录是否经过了过滤
***使用ud用户登陆,只能看到自己的记录
connect ud/Uiop246!
select sys_context('T0320_CTX','uid') from dual;
SYS_CONTEXT('T0320_CTX','UID')
--------------------------------------------------------------------------------
59

select * from ad.t0320_2;
USERNAME                          USER_ID CREATED
------------------------------ ---------- -----------------
UD                                     59 20120921 08:52:06


***使用zd用户登陆,只能看到自己的记录
connect zd/Uiop246!
select sys_context('T0320_CTX','uid') from dual;
SYS_CONTEXT('T0320_CTX','UID')
--------------------------------------------------------------------------------
94

select * from ad.t0320_2;
USERNAME                          USER_ID CREATED
------------------------------ ---------- -----------------
ZD                                     94 20121006 17:32:00

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/53956/viewspace-1467718/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/53956/viewspace-1467718/

cuiqiong6888
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
细粒度访问控制
05-29
细粒度访问控制经典文章,基于风险访问控制细粒度访问控制,增加系统的可访问性和安全性
Fine Grained Access Control
08-01
Fine Grained Access Control Arup Nanda, Proligence, Inc.
数据库细粒度访问控制
执着之道
08-30 1706
  背景 根据控制对象的粗细程度,访问控制可分为粗粒度和细粒度两种 通常把规定访问整个数据库表或由基本表导出的视图的某个层称为粗粒度的访问控制,而细粒度控制则是把安全控制细化到数据库的行级或列级。 我们给银行上了一套系统,银行的政策允许所有财务经理可以访问所有账户持有人的信息,但在最近,对该政策做了改变只允许财务经理访问特定的客户集,那么为了使应用程序符合新的政策,我们必须对应用程序...
fine-grained access control功能笔记
congjiao5415的博客
09-05 248
1. 创建procedure设置上下文create or replace procedure sys.my_ctx_procedure(p_ctx_name varchar2,p_ctx_value varchar2)IS ...
细粒度访问控制-视图
ckrsktoni24621798的博客
04-26 95
1、在视图中内嵌decode/case函数实现对列的屏蔽create or replace view cls_empasselect empno,ename,deptno,decode(ename,USER,sal,null) ...
细粒度访问控制-VPD
ckrsktoni24621798的博客
04-26 270
1、创建测试环境conn sys/password as sysdbacreate user HJP identified by password default tablespace users temporary table...
云计算中基于CP-ABE的大数据细粒度访问控制
03-09
云计算中基于CP-ABE的大数据细粒度访问控制
电信设备-信息系统中细粒度权限管理方法.zip
09-19
在信息系统中,细粒度权限管理(Fine-Grained Access Control, FGAC)是一种重要的安全策略,它允许系统管理员对用户访问资源的权限进行精确控制。这种方法与传统的粗粒度权限管理不同,后者通常只设置如“读取”、...
医学博士Quips:查询医疗数据的信息隐私和安全性-研究论文
05-20
我们的工作考虑了细粒度访问控制(FGAC)的机制。 当前的技术存在泄露过多信息或对聚合查询给出错误答案的可能性。 我们通过考虑良好安全性的属性,定义信息披露级别以及开发查询评估算法(使用SQL中指定的策略)来...
sql server安全技术综述
12-19
细粒度访问控制Fine-Grained Access Control, FGAC)允许更精确地控制用户对数据的访问,比如行级权限和列级权限,使得敏感数据能够被更严密地保护。 数据库加密是另一种有效的安全措施,SQL Server支持透明...
Node.js-在Postgres上实现快速即时的GraphQLAPI具有细粒度访问控制
08-10
在Postgres上实现快速,即时的GraphQL API,具有细粒度访问控制
Oracle中细粒度访问控制的工作方式
03-03
细粒度访问控制也就是虚拟专用数据库 (VPD) ,它提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎,并且在从教育软件到金融服务等各种应用程序得到采用。VPD 的工作方法是,通过透明地更改对数据的请求,基于一系列定义的标准向用户提供表的局部视图。在运行时,所有查询都附加了谓词,以便筛选出准许用户看到的行。例如,如果只允许用户查看帐户管理员 SCOTT 的帐户,则 VPD 设置自动地将查询。
php细粒度权限控制,php – 细粒度访问控制
weixin_29846499的博客
04-08 154
我熟悉一大堆方法来验证我们正在开发的基于Web的管理应用程序的用户,甚至还有各种技术来密切授权……但是,我的问题是,您如何建议我实现提供以下内容的细粒度访问控制机制:>用户属于“角色”或“群组”,例如“销售人员”,“计划”等.>管理菜单系统仅显示具有与用户角色相关的功能的“页面”>这些页面中的特定功能有限制 – 例如,在“新预订”页面上,“销售人员”用户可以“仅在将来”发出预订,...
细粒度权限控制 linux,FGAC(细粒度访问控制)/VPD
weixin_29791447的博客
05-03 268
FGAC/VPD可以从安全方面限制用户在行级别的访问权限,对于安全性考虑的应用有很大帮助。另外,在一些特别特殊的情况下,可以通过它改写用户SQL的谓词(where condition)。这里step by step做一个例子,以供以后参考。SQL> show userUSER is "HR"SQL> create table testfgac as select * from dba_...
redis之相思而不得见-细粒度访问控制列表ACL
happytree001的博客
11-26 1469
# 一、简介 对于早期的redis,在安全访问控制方面非常的弱,使用默认配置的话,能访问redis服务的任何人都能连接上服务,进行数据的操作,简直就是在裸奔一样; 在redis2.2之前的版本最多也只能通过requirepass配置一个密码,任何知道密码的人也可以连接上redis进行删库跑路 ???? ,并且redis6之前的传输都是基于TCP明文传输的,直接抓个包就看到密码了,无密码可言; 为了防止一些人对redis操作非常危险的命令,比如删库命令flushall等,在redis2.2.0开始可以通过re
在云计算中实现安全、可伸缩、细粒度数据的访问控制
热门推荐
歆萌的专栏
04-22 1万+
Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing
Oracle Fine-Grained Access Control Lab
老徐的博客只有干货
11-03 2380
本文根据Oracle官方文档整理,不到之处还望指出。 ---------------------------------------------------------------------                                                         Oracle精细化访问控制实验 一 介绍      1.、强制用户只能查询属于
ORA-39181:Only Partial Table Data Exported Due To Fine Grain Access Control [ID 422480.1]
byebyegov5qq
02-07 91
修改时间 15-MAR-2011类型 PROBLEM状态 PUBLISHED In this DocumentSymptomsChangesCauseSolutionReferences Applies to: Oracle Server - Enterprise Edition - Version: 10.2.0.1 and later[Release: 10.2...
理解RESTful架构:网站即软件
肖申克的救赎--专栏
09-14 503
http://developer.51cto.com/art/201109/291030.htm 越来越多的人开始意识到,网站即软件,而且是一种新型的软件。 这种"互联网软件"采用客户端/服务器模式,建立在分布式体系上,通过互联网通信,具有高延时(high lat
fine-grained recognition pmg
最新发布
01-28
fine-grained recognition pmg是一种高精度细粒度识别技术,它主要应用于图像识别领域。该技术能够对图像中的细小特征进行识别,例如区分不同品种的狗、不同品种的花卉等。这种技术的主要目的是通过对细微特征的识别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值