权限控制 SQL 视图

最新推荐文章于 2020-11-22 15:51:18 发布
最新推荐文章于 2020-11-22 15:51:18 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: SQL

Q: 

“现在有这么一个场景,假如有三种角色,并且存在层级关系,他们需要访问同一个数据源表,但是需要做权限控制,使得每种角色只能看到自己及以下层级的数据。比如:公司有CEO,Manger和普通的employee三种角色,CEO可以查看CEO、Manager和employee层级的数据;Manger只能查看Manger和employee的数据,不能查看CEO层级;而employee只能查看employee的数据,不能查看CEO和Manager级别的数据。


--1--

创建测试数据库Test,接着创建三个用户CEO,Manager和employee,然后创建测试表tb_Test_ViewPermission,最后插入三条测试数据,每个层级一条数据。

IF DB_ID('Test') IS NULL
    CREATE DATABASE Test;
GO

USE Test
GO

--create three logins(CEO, manager, employee)
--create login CEO
IF EXISTS(
            SELECT *
            FROM sys.syslogins
            WHERE name = 'CEO')
BEGIN
      DROP LOGIN CEO;
END
GO
CREATE LOGIN CEO with password='CEODbo',check_policy = off;
GO

--create user CEO
IF USER_ID('CEO') is not null
        DROP USER CEO;
GO
CREATE USER CEO FOR LOGIN CEO;
GO

--create login Manager
IF EXISTS(
            SELECT *
            FROM sys.syslogins
            WHERE name = 'Manager')
BEGIN
      DROP LOGIN Manager;
END
GO
CREATE LOGIN Manager with password='ManagerDbo',check_policy = off;
GO

--create user manager
IF USER_ID('Manager') is not null
        DROP USER Manager;
GO
CREATE USER Manager FOR LOGIN Manager;
GO

--create login employee
IF EXISTS(
            SELECT *
            FROM sys.syslogins
            WHERE name = 'employee')
BEGIN
        DROP LOGIN employee;
END
GO
CREATE LOGIN employee with password='employeeDbo',check_policy = off;
GO

--create user employee
IF USER_ID('employee') is not null
        DROP USER employee
GO
CREATE USER employee FOR LOGIN employee;
GO

--create basic TABLE
IF OBJECT_ID('dbo.tb_Test_ViewPermission','u')is not null
    DROP TABLE dbo.tb_Test_ViewPermission
;
GO
CREATE TABLE dbo.tb_Test_ViewPermission
(
        id int identity(1,1) not null primary key
        ,name varchar(20) not null
        ,level_no int not null
        ,title varchar(20) null
        ,viewByCEO char(1) not null
        ,viewByManager char(1) not null
        ,viewByEmployee char(1) not null
        ,salary decimal(9,2) not null
);

--data init.
INSERT INTO dbo.tb_Test_ViewPermission
SELECT 'AA',0,'CEO','Y','Y','Y',1000000.0
union all
SELECT 'BB',1,'Manager','Y','Y','Y',100000.0
union all
SELECT 'CC',2,'employee','Y','Y','Y',10000.0
;
GO

创建三个视图

表对象和数据准备完毕后,接着我们建立三个视图,分别过滤出自己所在层级及以下层级的数据。比如,CEO包含CEO、Manager和employee层级数据;Manger包含Manger和employee层级数据;employee仅包含employee层级数据。

USE Test
GO
--create views for CEO querying, CEO can get all the data
IF OBJECT_ID('dbo.v_employeeinfo_forCEO','v')is not null
        DROP VIEW dbo.v_employeeinfo_forCEO
;
GO
CREATE VIEW dbo.v_employeeinfo_forCEO
AS
SELECT *
FROM dbo.tb_Test_ViewPermission WITH(NOLOCK)
WHERE level_no >= 0;
GO

--create views for Manager querying, Manger can get manger group & employee group data
IF OBJECT_ID('dbo.v_employeeinfo_forManager','v')is not null
        DROP VIEW dbo.v_employeeinfo_forManager
;
Go
CREATE VIEW dbo.v_employeeinfo_forManager
AS
SELECT 
        name
        ,level_no
        ,title
        ,viewByManager
        ,viewByEmployee
        ,salary
FROM dbo.tb_Test_ViewPermission WITH(NOLOCK)
WHERE level_no >= 1; 
GO

--create views for Employee querying, employee just can get employee group data
IF OBJECT_ID('dbo.v_employeeinfo_forEmployee','v')is not null
        DROP VIEW dbo.v_employeeinfo_forEmployee
;
GO
CREATE VIEW dbo.v_employeeinfo_forEmployee
AS
SELECT 
        name
        ,level_no
        ,title
        ,viewByEmployee
        ,salary
FROM dbo.tb_Test_ViewPermission WITH(NOLOCK)
WHERE  level_no >= 2;
GO

权限设置

所有视图创建完毕后,接下来是最为关键的步骤,就是对视图权限的设置。基本的思路是:拿掉所有用户对于基表的权限,对于视图需要拿掉自己以下层级用户权限,然后给予视图自己层级用户的查看权限。比如:Manager层级视图dbo.v_employeeinfo_forManager需要拿掉employee的权限,授予Manager查询权限。

USE Test
GO
--====permission init.
--deny all permission to user for TABLE
DENY ALL ON dbo.tb_Test_ViewPermission TO CEO;
DENY ALL ON dbo.tb_Test_ViewPermission TO Manager;
DENY ALL ON dbo.tb_Test_ViewPermission TO employee;

--deny permission for Manager & employee
DENY ALL ON dbo.v_employeeinfo_forCEO TO Manager;
DENY ALL ON dbo.v_employeeinfo_forCEO TO employee;

DENY ALL ON dbo.v_employeeinfo_forManager TO employee;

--Grant query permission for CEO & Manager & Employee
GRANT SELECT ON dbo.v_employeeinfo_forCEO TO CEO;

GRANT SELECT ON dbo.v_employeeinfo_forManager TO Manager;

GRANT SELECT ON dbo.v_employeeinfo_forEmployee TO employee;
GO

权限测试

以上所有工作准备完毕后,接下来就是最紧张的权限验证环节了,时间才是检验真理的唯一标准。

CEO权限测试

按照预期,CEO应该不能访问基表数据,会报告异常,但是可以查询CEO,manager和employee层级数据,总共三条。测试语句如下,将SSMS的结果显示切换为text模式,或者直接快捷键ctrl + t。

--CEO query test
USE test
GO

--CEO cann't read data from basic table
SELECT *
FROM dbo.tb_Test_ViewPermission WITH(NOLOCK)

--CEO all read the data from CEO group
SELECT 
        CAST(CURRENT_USER AS VARCHAR(10)) AS 'Who am i'
        ,*
FROM v_employeeinfo_forCEO WITH(NOLOCK)
GO

结果显示如下,测试结果的确与预期吻合。
01.png

Manager权限测试

预期是Manger对基表没有访问权限,也没有CEO视图的访问权限,但是可以查看到Manger和普通employee的数据,也就是会返回两条数据。

--Manager query test
use test
GO

--Manager cann't read data from basic table
SELECT *
FROM dbo.tb_Test_ViewPermission WITH(NOLOCK)

--Manager can't read the data from CEO group
SELECT *
FROM v_employeeinfo_forCEO WITH(NOLOCK)
GO

--manager can read data from manager group
SELECT 
        CAST(CURRENT_USER AS VARCHAR(10)) AS 'Who am i'
        ,*
FROM dbo.v_employeeinfo_forManager WITH(NOLOCK)
GO

查询结果展示如下,测试结果再次与预期吻合。
02.png

Employee权限测试

预期是employee没有基表权限,没有CEO视图查看权限,也没有Manager视图查询权限,只能看到employee层级数据,也就是会返回一条数据。

--Employee query test
USE test
GO

--Employee cann't read data from basic table
SELECT *
FROM dbo.tb_Test_ViewPermission WITH(NOLOCK)

--Employee can't read the data from CEO group
SELECT *
FROM v_employeeinfo_forCEO WITH(NOLOCK)
GO

--Employee can't read data from manager group
SELECT 
        CAST(CURRENT_USER AS VARCHAR(10)) AS 'Who am i'
        ,*
FROM dbo.v_employeeinfo_forManager WITH(NOLOCK)
GO

--Employee just can read data from employee group
SELECT 
        CAST(CURRENT_USER AS VARCHAR(10)) AS 'Who am i'
        ,*
FROM dbo.v_employeeinfo_forEmployee  WITH(NOLOCK)
GO

结果显示如下,employee层级测试结果也完全满足预期。
03.png




疯羊先森
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限管理之视图
德仔
10-24 1410
CREATE VIEW dbo.Per_tree AS SELECT         dbo.Base_User.User_no, dbo.Base_User.User_wkno,                           dbo.Base_User.User_name, dbo.Menu_Tree.no, dbo.Menu_Tree.id,
数据库事务,视图权限管理
Justin
07-25 788
一、数据库的事务 事务: 是数据恢复和并发控制的最小单位,是用户执行一系列数据操作的序列集合。   事务具有四大特点(ACID): ①原子性:事务对数据的操作要么全部都做,要么全部不做,就叫做事务的原子性 ②一致性:事务执行的结果必须使数据从一个一致性状态转变到另一个一致性状态。事务成功提交时,数据库必须处于一致性状态。 ③隔离性:多个事务同时进行时,各个事务之间不会相互影响。 ④...
sql视图 权限_《MySQL必知必会》学习笔记 8 使用视图
weixin_39521520的博客
11-22 71
1、视图是虚拟的表,包含的不是数据而是按需检索数据的查询,执行时动态产生结果。SELECT XXX FROM ataboe|a_view2、创建视图(注意必须拥有足够的访问权限)CREATE VIEW a_view AS 常规select语句简化了复杂SQL的写法过滤不想要的数据(只想要有email的cust)3、使用视图视图的使用主要是查询SELECT虽然理论上可以insert、update和...
视图控制权限的作用
weixin_30649641的博客
05-25 120
为不同的用户不同的权限 例如软院和计算机学院的学生都在学生表中,那么怎么给软院老师只能操作软院学生,计算机学院老师只能操作计算机学院老师的权限呢。 解决办法:创建一个软件学院学生的视图,给软院老师此视图的增删改权限,计算机学院同理。 转载于:https://www.cnblogs.com/xiongji/p/3750978.html...
控制视图页面的访问权限
hf_1984的专栏
09-01 541
控制视图页面的访问权限 问题:控制视图页面的访问权限,设置只有指定组的用户可以访问。解决方案:写一个webpart,添加到需要控制权限的页面,如何当前用户不属于指定的组,则不允许用户访问当前页面。代码:Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.
SQL视图
12-14
可以授予用户访问表的特定部分的权限,而不是对整个表进行访问。  5:更改数据格式和表示。视图可以返回与底层表的表示和格式不同的数据。  创建视图之后,可以用于表基本相同的方式使用它们。可以对视图执行...
SQLserver 中使用SQL语句创建视图:
最新发布
08-15
SQL Server中,视图是一种虚拟表,它是由SQL ...在实际应用中,视图常用于权限控制、数据分析和报告生成等场景。理解并熟练掌握视图的创建、查询、修改和管理,对于提高SQL Server数据库的管理和使用效率至关重要。
Sql Server中的视图介绍
09-10
SQL Server中,视图是数据库管理系统提供的一种非常重要的数据抽象机制,它允许用户以一种...在实际工作中,视图常用于数据报表、权限控制以及简化复杂的查询操作等多个场景,是数据库设计和管理中不可或缺的一部分。
sql视图复制工具
07-27
这就是"sql视图复制工具"的作用所在。 视图复制工具的主要功能是自动化地将源数据库中的视图结构和定义安全、高效地移植到目标数据库。这个过程通常包括以下步骤: 1. **分析视图定义**:工具首先读取源数据库中...
SQL Server视图的讲解
09-09
SQL Server视图是数据库...通过合理地利用视图,开发者可以更好地控制数据的访问权限,优化查询性能,并且提高系统的整体安全性。在日常开发和维护工作中,视图的应用广泛且不可或缺,是提升数据库管理效率的重要手段。
视图查询权限授予普通用户
热门推荐
渔夫数据库笔记
06-04 4万+
可以一些oracle的普通用户需要查询某个视图,但是因为安全考虑不能把dba权限赋予普通用户,那只能把相关视图的查询权限赋予给普通用户,下面就来说一下怎么给普通用户授予视图的查询权限 1.给用户授予某个视图的查询权限 SQL> grant select on v$mystat to test1; grant select on v$mystat to test1
创建表空间+视图、表加权限
meteor_730的专栏
12-22 801
创建表空间: create tablespace bxrlzydata logging datafile 'E:\app\Administrator\oradata\orcl\bxrlzydata.dbf' size 128m autoextend on next 128m extent management local; 视图权限: grant select on v_org_user_
关于数据库创建视图权限不足的解决办法
m0_38053639的博客
07-19 6337
在创建视图时弹出如下对话框(用的navicat软件,与其他平台上的没啥分别,错误码都是ORA-01031) 原因是当前登录的scott用户没有创建视图权限,需要给scott用户授权 首先用scott用户登录,然后给scott用户授权 在控制台上输入grant create any view to scott; 如下 出现Grant succeeded.表示授权成功 然后再...
ITeye论坛关于权限控制的讨论
这样生活
03-22 238
  感谢该文章作者的整理,原文转自:http://www.iteye.com/magazines/82 在许多的实际应用中,不只是要求用户简单地进行注册登录,还要求不同类别的用户对资源有不同的操作权限。目前,权限管理系统也是重复开发率最高的模块之一。 ITeye论坛中关于权限控制的帖子非常之精彩,现将其精华内容摘录于下。 目 录 [ - ] 楼主关于权限控制的问题 RB...
sql server 权限控制 视图
06-09
SQL Server 中,可以使用视图控制用户对表的访问权限。通过创建视图,可以将表的部分数据或特定列暴露给用户,同时隐藏表的其他部分。还可以通过授予或拒绝用户对视图的 SELECT、INSERT、UPDATE、DELETE 等操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值