实现数据行的权限控制(Policy的应用)

最新推荐文章于 2024-03-21 10:30:06 发布
最新推荐文章于 2024-03-21 10:30:06 发布
阅读量907 收藏
点赞数
分类专栏: Oracle 安全 文章标签: schema object insert null function integer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/teapot82/article/details/6622782
版权

1.  Oracle Policy说明

  Policy应用于数据行访问权限控制时,其作用简而言之,就是在查询数据表时,自动在查询结果上加上一个Where子句。如果该查询已有where子句,则在该Where子句后面加上"And ..."。

由Oracle Policy自动加入的Where子句的内容,通常由一个函数来实现。而进行数据行访问权限控制算法实现的结果,也是通过该函数返回。

2.  测试表

测试环境10.2.0.5

create table t_policy

(

  id number(12),

  name varchar2(30)

);

insert into t_policy values(1,'a');

insert into t_policy values(2,'b');

insert into t_policy values(3,'c');

commit;

3.  Oracle Policy语法

添加Policy

DBMS_RLS.ADD_POLICY (

  object_schema            INVARCHAR2 NULL,

  object_name              INVARCHAR2,

  policy_name              INVARCHAR2,

  function_schema          INVARCHAR2 NULL,

  policy_function          INVARCHAR2,

   statement_types          IN VARCHAR2 NULL,

  update_check             INBOOLEAN  FALSE,

  enable                   INBOOLEAN  TRUE,

  static_policy            INBOOLEAN  FALSE,

  policy_type              INBINARY_INTEGER NULL,

  long_predicate           IN BOOLEAN  FALSE,

  sec_relevant_cols        INVARCHAR2,

  sec_relevant_cols_opt    INBINARY_INTEGER NULL);

 

创建测试的Policy函数:

CREATE OR REPLACE FunctionFn_GetPolicy(P_Schema In Varchar2,

                                       P_Object In Varchar2)

Return Varchar2 Is

  p_uservarchar2(30);

Begin

  p_user:= sys_context ('userenv','session_user');

 

  case

    whenp_user = '1001' then Return 'ID=1';

    whenp_user = '1002' then Return 'ID=2';

    elsereturn null;

  endcase;

End;

该policy函数的作用,主要是用来返回查询条件到DML语句

 

添加policy

Begin

 DBMS_RLS.Add_Policy(Object_Schema  => 'Scott',

          Object_Name     => 'T_Policy',

          Policy_Name     =>'T_TestPolicy',

          Function_Schema => 'Scott',

          Policy_Function => 'Fn_GetPolicy',

          Statement_Types => 'Select,Insert,Update,Delete',

          Static_Policy   => TRUE,

          Policy_Type => NULL);

End;

/

 

删除Policy

begin

 DBMS_RLS.drop_policy(object_name => 'T_POLICY',

                       policy_name =>'T_TestPolicy');

end;

/

 

设定Policy状态

dbms_rls.enable_policy

dbms_rls.disable_grouped_policy

4.  相关执行计划

SQL> conn 1001/1001

Connected.

SQL> select * fromscott.t_policy;

 

        ID NAME

----------------------------------------

         1 a

 

SQL> set autotracetraceonly
SQL> select * fromscott.t_policy;

Execution Plan
----------------------------------------------------------
Plan hash value: 1252456560

------------------------------------------------------------------------------
| Id  | Operation         | Name     | Rows | Bytes | Cost (%CPU)| Time     |
------------------------------------------------------------------------------
|   0 | SELECT STATEMENT  |          |    1 |    30 |     3  (0) | 00:00:01 |
|*  1 | TABLE ACCESS FULL | T_POLICY |    1 |    30 |     3  (0) | 00:00:01 |
------------------------------------------------------------------------------

Predicate Information(identified by operation id):
---------------------------------------------------
   1 - filter("ID"=1)

Note
-----
   - dynamic sampling used for this statement

5.  相关视图

USER_POLICIES

DBA_POLICIES


teapot82
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
国际数据空间中的使用控制-数据使用控制
07-05
访问控制主要关注于数据的访问权限,即确定哪些用户或系统可以访问特定数据;而使用控制则更进一步,它除了关注数据的访问之外,还关注数据被访问之后的具体使用情况。使用控制技术可以更加细致地控制数据的使用方式...
数据权限的设计与思考
学海无涯,行者无疆
10-06 3901
权限控制是一个系统的核心功能,可以分为两类,一类是功能权限,一类是数据权限数据权限又可以进一步分为权限和列级权限。功能权限,是指系统用户能进哪些操作,通常是菜单和按钮权限,如打开订单菜单,查询订单列表,创建新订单。对于功能权限,有标准化的解决方案,也即RBAC,通过权限项、角色、用户三张主表,以及角色-权限项对应关系表和角色-用户对应关系表两张辅助表,一共5张库表即可实现功能权限的功能,系统管理员通过系统界面即可实现灵活的权限分配和维护。
ERP系统中数据级别的权限控制
最新发布
MagicErp,一款真正全开源用心迭代的ERP系统
03-21 889
例如在一个ERP管理系统中,普通员工只能查看自己的员工数据,部门领导可以查看所属部门的所有员工数据,HR可以查看公司所有员工的数据。使用硬编码实现起来非常简单,只需要在查询数据时按用户拥有的权限sql过滤,在更新数据时校验用户是否可以操作该数据。但是,在ERP这种系统中,类似这种数据需求会越来越多,如果全部采用硬编码的方式,无疑会给我们带来非常大的开发与维护成本。系统时,都离不开权限的管理,权限 = 功能权限 + 数据权限。而数据权限,则根据不同的业务场景,则权限设计不尽相同。条件来进数据的过滤。
oracle 策略POLICY学习
xiaoxu oracle专栏
10-20 1869
-- 1、创建测试表 create table TEST_POLICY (   USERNAME VARCHAR2(10),   PASSWORD NUMBER(10) ); insert into TEST_POLICY values('a',30); insert into TEST_POLICY values('b',20); insert into TEST_POLICY
oracle策略,oracle策略POLICY学习-Oracle
weixin_39869733的博客
04-12 376
oracle策略POLICY学习01-- 1、创建测试表02create table TEST_POLICY03(04USERNAME VARCHAR2(10),05PASSWORD NUMBER(10)06);07insert into t_policy values('a',30);08insert into t_policy values('b',20);09insert into t_po...
Oracle策略的使用(dbms_rls.add_policy)
Data & Analysis
12-13 2551
数据访问控制权限,是一个在实际项目中用得很平常的问题。比如公司部门,就工资来说,本人只能看到自己的工资信息,不能看到其他同事的信息,部门经理或更高级别的人可以看到他对应权限的信息,看到这里大多数人会选择在View加上Where子句来进数据隔离。此方法编码工作量大、系统适应用户治理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改。除了这种实现,可以采用...
权限控制系统.7z权限控制系统.7z
06-22
总结,权限控制系统是保障信息系统安全的核心机制,通过科学的权限分配和严格的访问控制实现用户为的规范和数据保护。理解并掌握权限控制系统的原理与应用,对于构建安全、高效的信息环境至关重要。在实际工作中...
Web应用系统菜单及权限控制
08-22
在IT业中,Web应用系统的设计和...总的来说,Web应用系统菜单及权限控制是一个涉及数据库交互、数据结构、算法和安全性等多个方面的复杂任务。理解并掌握这一过程有助于构建高效、安全且用户体验良好的Web应用系统。
权限控制,js控制js控制js控制权限控制
04-28
综上所述,JavaScript在权限控制方面发挥着至关重要的作用,它既用于实现用户界面的动态交互,又承担着保护应用程序和用户数据安全的责任。开发者需要熟练掌握并灵活运用这些技巧,确保系统的稳定和安全。而"XYW912...
ORACLE 精细访问控制实现
08-17
Oracle 精细访问控制(Fine-Grained Access Control, FGAC)是一种高级安全机制,它允许数据库管理员实施更细致的权限管理策略,确保数据的安全性和隐私性。在传统的Oracle权限管理中,我们通常通过GRANT和REVOKE...
关于给用户分配资源(数据库表)中某条记录的操作权限问题-控制
10-17
关于给用户分配资源(数据库表)中某条记录的操作权限问题-控制
关于oracle policy
cizha3055的博客
06-12 290
今天下午用了一个下午偶然碰到oracle policy这个概念,知道这个是用在安全方面控制数据的,例如,在一家公司,员工只可以看到本部门员工的记录或者可以看到其他部门的有关记录,但对于工资这个敏感数据则不能看到,对于这样的需求o...
oracle 敏感数据,Oracle对于敏感数据的处理,可以采用策略(dbms_rls.add_policy)
weixin_36180515的博客
04-10 550
Oracle Policy的简单说明:Policy应用数据访问权限控制时,其作用简而言之,就是在查询数据表时,自动在查询结果上加上一个Where子句。假如该查询已有where子句,则在该Where子句后面加上"And ..."。由Oracle Policy自动加入的Where子句的内容,通常由一个函数来实现。而进数据访问权限控制算法实现的结果,也是通过该函数返回。Oracle Policy...
oracle Policy应用--DBMS_RLS.ADD_POLICY
Data & Analysis
12-13 486
本文通过以下两篇文章整理所得: http://www.knowsky.com/386463.html http://www.itpub.net/thread-1004775-1-1.html 1 前言   数据访问权限控制,是一个古老而又实际的问题。   在大部份系统中,权限控制主要定义为模块进入权限控制数据列访问权限控制(如:某某人可以进入某个控制,仓库不充许查看有关金额的字段等等)。...
数据权限访问控制
Roda的博客
08-16 5318
在技术上采用身份认证的方式实现。首先,数据只能被授权的用户使用,未授权的用户不能使用;其次,授权的用户在使用数据时也只能在授予的一定权限内使用,超出允许权限之外的操作则无法使用。这种情况需要给相关appid限流处理,常用的限流算法包括:令牌桶限流,漏桶限流,计数器限流;漏桶算法的原理是按照固定常量速率流出请求,流入请求速率任意,当请求数超过桶的容量时,新的请求等待或者拒绝服务;系统访问控制对计算机进了第一道安全防护,非授权人员无法通过认证打开计算机系统,也就无法看到数据,无法对数据进一步的操作。...
Saas.数据权限控制(Sql解析)
记录 分享 成就
04-08 3766
目录 承前 概念概述 权限概述 数据权限要素 操作控制 规则定义 方案选型 方案一:子查询: 方案二:手动添加Sql控制 方案三:借助视图 方案四:Sql解析器 比对选型 条件视图实现 Mybatis访问 添加配置 DB侧 性能问题 Sql解析器实现 支持场景 资源定义 操作控制 DruidSql解析器逻辑 Join Union Where DruidSqlParser Mybatis拦截器代码 总结 承前 如果一个表根据t...
oracle访问控制策略查看,【学习笔记】oracle fga 细粒度访问控制研究笔记
weixin_28909161的博客
04-03 211
天萃荷净oracle研究中心学习笔记:分享一篇关于Oracle数据库细粒度访问控制的学习笔记,详细介绍了Implement fine-grained access control (Fine-Grained Auditing)大家对trigger可能比较熟悉,但Oracle还有一个叫FGA的功能,它的作用和trigger类似,但功能更强大.它的全称是Fine-Grained Audit ,是Aud...
oracle 18c 新特性,Oracle 18c新特性测试
weixin_42456372的博客
04-05 348
原标题:Oracle 18c新特性测试 7月24日Oracle 18c通用版本正式对外发布后,三墩IT人在数据库的迁移,割接和升级等方面进了相关的测试,并分享了相关的测试结果。随后三墩IT人又着重在数据库的资源管理和数据安全进了测试,取得了大量的测试结果,今天我们带来了这些方面的测试过程和测试结果。资源管理 功能介绍:Oracle 12c版本引入了多租户的概念,可以把不同的业务整合到同一套数据...
Windows域控制器入门:从DOMAIN到GROUPPOLICY
"这篇文档是关于域控制器入门的教程,主要涵盖了域的概念、DNS的作用、Active Directory的详解、在Windows 2003中域的三种角色、Group Policy的运用以及备份与恢复的相关知识。" 文章详细内容: 一、域(DOMAIN) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值