1 前言
数据访问权限控制,是个古老而又实际的问题。
在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人能够进入某个控制,仓库不充许查看有关金额的字段等等)。
但在某些系统中,权限控制又必须定义到数据行访问权限的控制,此需求一般出现在同一系统,不同的相对单独机构使用的情况。(如:集团下属多个子公司,任何子公司使用同一套数据表,但不同子公司的数据相对隔离)
当然,绝大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致任何的View都必须修改。
本文探讨的使用Oracle提供的Policy管理方法来实现数据行的隔离。
特别感谢Javac兄提出的此解决方案!
2 实现
2.1 Oracle Policy的简单说明
Policy应用于数据行访问权限控制时,其作用简而言之,就是在查询数据表时,自动在查询结果上加上一个Where子句。假如该查询已有where子句,则在该Where子句后面加上"And ..."。
由Oracle Policy自动加入的Where子句的内容,通常由一个函数来实现。而进行数据行访问权限控制算法实现的结果,也是通过该函数返回。 中国.网管联盟
2.2 Oracle Policy的语法简述
2.2.1 新增Policy
Dbms_Rls.Add_Policy(Object_Schema --数据表(或视图)所在的Schema名称
,Object_Name --数据表(或视图)的名称
,Pol
数据访问权限控制,是个古老而又实际的问题。
在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人能够进入某个控制,仓库不充许查看有关金额的字段等等)。
但在某些系统中,权限控制又必须定义到数据行访问权限的控制,此需求一般出现在同一系统,不同的相对单独机构使用的情况。(如:集团下属多个子公司,任何子公司使用同一套数据表,但不同子公司的数据相对隔离)
当然,绝大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致任何的View都必须修改。
本文探讨的使用Oracle提供的Policy管理方法来实现数据行的隔离。
特别感谢Javac兄提出的此解决方案!
2 实现
2.1 Oracle Policy的简单说明
Policy应用于数据行访问权限控制时,其作用简而言之,就是在查询数据表时,自动在查询结果上加上一个Where子句。假如该查询已有where子句,则在该Where子句后面加上"And ..."。
由Oracle Policy自动加入的Where子句的内容,通常由一个函数来实现。而进行数据行访问权限控制算法实现的结果,也是通过该函数返回。 中国.网管联盟
2.2 Oracle Policy的语法简述
2.2.1 新增Policy
Dbms_Rls.Add_Policy(Object_Schema --数据表(或视图)所在的Schema名称
,Object_Name --数据表(或视图)的名称
,Pol