oracle行列级权限控制(VPD)

最新推荐文章于 2024-06-05 10:29:46 发布
最新推荐文章于 2024-06-05 10:29:46 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: ORACLE 文章标签: oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51192710/article/details/131070849
版权

oracle行列级权限控制(VPD)

一、背景

在数据访问中一般的访问权限控制是通过创建视图实现的,基于某个基础表创建不同的视图,将视图的查询权限赋予特定的数据查询方,使得不同的用户只能访问到特定的数据。

那么有没有办法让不同的用户访问同一张表的时候,只能看到自己权限范围内的数据,不通过视图实现,显然是有的。

虚拟专用数据库(VPD)指的是,通过在数据库里进行配置,从而让不同的用户只能查看某 个表里的部分数据。VPD分为以下两个级别。

  • 行级别:在该级别下,可以控制某些用户只能查看到某些数据行。比如,对于销售数据表sales 来说,每个销售人员只能检索出他自己的销售数据,不能查询其他销售人员的销售数据。

  • 列级别:在该级别下,可以控制某些用户不能检索某个表的某个列的值。比如用户HR 下的 employees 表中,含有工资(salary)列,由于该列比较敏感,因此不让其他用户查询该列的值。 其他用户检索该列时,会发现其值全都为空(null )。

二、行级权限控制

1、创建测试表

CREATE TABLE PDM.TEST_VPD(
CAN_SELECT NUMBER
,NO_SELECT NUMBER
);

2、插入测试数据

INSERT INTO PDM.TEST_VPD VALUES(11);
INSERT INTO PDM.TEST_VPD VALUES(21);
INSERT INTO PDM.TEST_VPD VALUES(12);
INSERT INTO PDM.TEST_VPD VALUES(22);

3、创建政策函数

创建策略函数,作为行级权限的逻辑判断。当用户访问该表时获取当前用户的信息,用来判断外部访问用户,根据访问的用户不同设置不同的访问权限 限制在ADM_NRT访问PDM.TEST_VPD表时,默认添加对用户完全透明的访问条件NO_SELECT = 2

CREATE OR REPLACE FUNCTION F_LIMITED_QUERY_LINE(S_CHEMA IN VARCHAR2
,S_OBJECT IN VARCHAR2)
RETURN VARCHAR2
AS
VAR_O_RE VARCHAR2(50);
VC_USERID VARCHAR2(100);
BEGIN
     --获取上下文信息
     SELECT SYS_CONTEXT(‘USERENV’,SESSION_USER)
     INTO VC_USERID
FROM DUAL;
    --做行级访问限制
     IF TRIM(VC_USERID) = 'ADM_NRT' THEN
        VAR_O_RE := 'NO_SELECT = 2';
     ELSE
        VAR_O_RE := NULL;
     END IF;
     
     RETURN VAR_O_RE;
END;
/

4、定义FGAC规则

限制访问PDM用户下的表TEST_VPD,政策名称为LIMITED_QUERY_LINE,政策函数为PDM用户下的F_LIMITED_QUERY_LINE,政策类型为SELECT类型,启用该FGAC规则

BEGIN
    DBMS_RLS.ADD_POLICY(OBJECT_SCHEMA => 'PDM'
        ,OBJECT_NAME => 'TEST_VPD'
        ,POLICY_NAME => 'LIMITED_QUERY_LINE'
        ,FUNCTION_SCHEMA => 'PDM' 
        ,POLICY_FUNCTION => 'F_LIMITED_QUERY_LINE'
        ,STATEMENT_TYPES => 'SELECT'
        ,ENABLE => TRUE);
END;
/

5、查询策略

SELECT POLICY_NAME,SEL,INS,UPD,DEL,IDX,CHK_OPTION,ENABLE 
FROM USER_POLICIES;

6、去掉访问限制

BEGIN
    DBMS_RLS.DROP_POLICY(
    	OBJECT_SCHEMA => 'PDM'
       ,OBJECT_NAME => 'TEST_VPD'
       ,POLICY_NAME => 'LIMITED_QUERY_LINE'
    );
END;
/

三、列级权限控制

1、创建政策函数

CREATE OR REPLACE FUNCTION F_LIMITED_QUERY_LINE(S_CHEMA IN VARCHAR2
,S_OBJECT IN VARCHAR2)
RETURN VARCHAR2
AS
VAR_O_RE VARCHAR2(50);
VC_USERID VARCHAR2(100);
BEGIN
     --获取上下文信息
     SELECT SYS_CONTEXT(‘USERENV’,SESSION_USER)
     INTO VC_USERID
FROM DUAL;
    --做行级访问限制
     IF TRIM(VC_USERID) = 'ADM_NRT' THEN
        VAR_O_RE := '1 = 2';
     ELSE
        VAR_O_RE := NULL;
     END IF;
     
     RETURN VAR_O_RE;
END;
/

2、定义FGAC规则

SEC_RELEVANT_COLS 要屏蔽的列(用逗号隔开)

SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS说明对所有记录屏蔽该列

BEGIN
    DBMS_RLS.ADD_POLICY(OBJECT_SCHEMA => 'PDM'
        ,OBJECT_NAME => 'TEST_VPD'
        ,POLICY_NAME => 'LIMITED_QUERY_COL'
        ,FUNCTION_SCHEMA => 'PDM'
        ,POLICY_FUNCTION => 'F_LIMITED_QUERY_LINE'
        ,STATEMENT_TYPES => 'SELECT'
        ,SEC_RELEVANT_COLS =>'CAN_SELECT'
        ,SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS
        ,ENABLE => TRUE);
END;
/
天选之子123
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Oracle虚拟私有数据库VPD)概述及简单举例
cuidan1640的博客
06-25 446
Oracle虚拟私有数据库VPD)概述及简单举例[@more@]Oracle虚拟私有数据库VPD)概述及简单举例1、Oracle虚拟私有数据库VPD)概述VPD提供了比角色和视图更好的行访问控制。例如在internet访...
oracle vpd策略,oracle vpd 策略查询
weixin_34771903的博客
04-10 938
Oracle VPD策略示例 - abce - 博客园2015年12月14日Oracle VPD策略示例 1.未创建前使用oe用户登录查询: + View Code + View Code 2.创建VPD策略 以sys用户用sysdba权限登录pdb2 2.1.创建策略函数 + View...oracle vpd 策略查询_文档之家这与Oracle VPD 的实现相反,Oracle VPD 的实...
OracleVPD介绍
weixin_33998125的博客
05-29 296
1、什么是VPD?虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行访问控制。对于互联网访问,虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一Oracle 数据库中维护多个公司的数据,但只允许每个公司查看其自身数据。在企业内部,虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性,而不用在访问数据的每个应用...
[精]Oracle VPD详解(虚拟专用数据库)
热门推荐
苏南生的CSDN博客
09-19 1万+
所谓虚拟专用数据库VPD)指的是,通过在数据库里进行配置,从而让不同的用户只能查看某 个表里的部分数据。VPD分为以下两个别。 行别:在该别下,可以控制某些用户只能查看到某些数据行。比如,对于销售数据表sales 来说,每个销售人员只能检索出他自己的销售数据,不能查询其他销售人员的销售数据。 列别:在该别下,可以控制某些用户不能检索某个表的某个列的值。比如用户HR 下的 employe
如何给 MySQL 表和列授予权限?(官方版)
最新发布
lgbingyu00的博客
06-05 899
如何给MySQL表和列授予权限是MySQL数据操作中非常重要的步骤,也是企业使用MySQL数据库的起步点,以下分别参照官方教程整理的MySQL数据库权限操作。 以下的语句可以直接使用MySQL的命令行进行操作(如何连接命令行不在此处说明),也可以使用SQL开发工具如MySQL Workbench或SQLynx等完成。
Oracle-VPD
belief1117的专栏
07-17 141
  Oracle权限控制 采用oracle的dbms_rls包实现数据访问控制 在大部份系统中,权限控制主要定义为模块进入权限控制和数据列访问权限控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)。  但在某些系统中,权限控制又必须定义到数据行访问权限控制,此需求一般出现在同一系统,不同的相对独立机构使用的情况。(如:集团下属多个子公司,所有子公司使用...
[Oracle] 数据库安全之 - 虚拟私有数据库VPD
Zhu_Julian's Notes (朱显杰的技术博客)
06-09 4214
Oracle的安全分为四大部分,分别是用户管理、访问控制、数据保护和监控,具体可参考《[Oracle] 数据库安全概述》http://blog.csdn.net/u010415792/article/details/9008089 今天着重讲讲访问控制中一种常见的技术VPDVPD的全称是Virtual Private Database 虚拟私有数据库,它在Oracle 8i时就出现了,是Ora
oracle-vpd:启用Oracle VPD的翻译器
05-20
Oracle-vpd 这是用于Oracle的代理JDBC驱动程序,它提供了一种从JBoss EAP环境中注入V $ Session OSUSER的方法。 应该注意的是,必须在“ CallerIdentity”登录模块中使用它来设置OSUSER,并在JEE引擎中将基于$ ...
oracle 权限控制
08-28
Oracle权限控制系统是数据库管理的重要组成部分,它用于确保只有授权的用户和进程才能访问特定的数据和执行特定的操作。本文档主要探讨了如何在Oracle环境中实施权限控制,包括对历史SQL语句的保存、登录IP地址的...
ORACLE中一个基于角色访问控制VPD设计方案.pdf
10-10
Oracle中的基于角色访问控制(Role-Based Access Control, RBAC)与VPD技术】 Oracle数据库是一种广泛使用的大型关系型数据库管理系统,它提供了多种安全机制来保护数据,包括基于角色的访问控制(RBAC)和虚拟...
Oracle_VPD:在Oracle VPD中下载
02-14
Oracle VPD,全称为Virtual Private Database(虚拟私有数据库),是Oracle数据库的一种安全特性,它允许数据库管理员在数据库别实施细粒度的访问控制VPD技术通过在SQL语句中动态插入额外的条件,实现了数据别...
论文研究-Oracle VPD-细粒度的权限设计方案 .pdf
08-15
Oracle VPD-细粒度的权限设计方案,翟慧鑫,邹仕洪,数据资源共享已经成为大家协同工作的基本要求,传统的数据库访问控制模式已经不能很好的保护数据安全,因此更细粒度的访问控制
Oracle VPD
chncaesar的专栏
01-20 5754
VPD = Virtual Private Database。同义词有RLS : Row Level Security, FGAC: Fine Grained Access Control。 用于行访问控制。假设有需求,只有用户'SCOTT'能访问emp表所有记录,其他人只能访问manager以下员工的记录。 CREATE FUNCTION emp_policy(schema_in IN
后台管理系统 -- 行权限与列权限的设计与实现
放码过来
11-27 3208
开篇说明 如果在这里获得过启发和思考,希望点赞支持!对于内容有不同的看法欢迎来信交流。 技术栈 >> java 邮箱 >> 15673219519@163.com 描述 后台系统中除了根据角色分配不同的菜单,还经常遇到在一菜单中,不同角色或者不同的人员拥有不同的查选权限。 查询权限又可以分为行查询,列查询。行查询实现起来比较简单,下面会简单列出我遇到到的方法;然而列权限似乎没有看到一个很好的实现方法,并且实现起来比较复杂,导致无从下手。 接下来,我将具体描述我在系统中的实现方式
oracleVPD介绍
lifeneedyou的专栏
08-01 586
1什么是VPD? 虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行访问控制。对于互联网访问,虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一 Oracle 数据库中维护多个公司的数据,但只允许每个公司查看其自身数据。 在企业内部,虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性,而不用在访问数据的每个应用程序中分别实...
数据权限的设计与思考
学海无涯,行者无疆
10-06 3675
权限控制是一个系统的核心功能,可以分为两类,一类是功能权限,一类是数据权限。数据权限又可以进一步分为行权限和列权限。功能权限,是指系统用户能进行哪些操作,通常是菜单和按钮权限,如打开订单菜单,查询订单列表,创建新订单。对于功能权限,有标准化的解决方案,也即RBAC,通过权限项、角色、用户三张主表,以及角色-权限项对应关系表和角色-用户对应关系表两张辅助表,一共5张库表即可实现功能权限的功能,系统管理员通过系统界面即可实现灵活的权限分配和维护。
通过DataEase行列权限设置实现数据权限管控
FIT2CLOUD飞致云的博客
11-15 1554
使用行列权限实现数据脱敏,DataEase充分保障您的数据安全!
VPD学习笔记
hustzw07的博客
03-25 1172
VPD最近一直做MC的项目,根据context不同,利用VPD对查询数据进行过滤。问题:之前我们做权限控制常用的做法是建立视图,然后多在查询语句中加where语句来控制。不过这样当程序改变时,DB改动也比较大。另外,这个只是在应用程序层面上进行过滤。抛开不安全不说,让应用程序自己控制权限,总有点职责不明。VPD 即虚拟专用数据库(Virtual Private Database),简单来说通过在数...
Oracle中的约束
m0_71406734的博客
05-11 2529
Oracle中的约束
mysql 8.0 VPD
05-27
MySQL 8.0引入了VPD(Virtual Private Database)功能,它允许管理员定义基于SQL语句中的谓词的行别安全性策略。VPD可以被用于限制用户访问数据库中的敏感数据,保证数据的隐私和安全性。VPD功能的实现依赖于MySQL的安全性模型和访问控制机制,因此需要管理员对MySQL的权限和安全性模型有一定的了解才能使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值