oracle三种权限级别,ORACLE FGAC(细粒度权限控制)

最新推荐文章于 2023-10-27 16:18:37 发布
最新推荐文章于 2023-10-27 16:18:37 发布
阅读量416 收藏
点赞数
文章标签: oracle三种权限级别

--主要完成ORACLE fine-grained access control , 以及使用存储过程进行权限封装

/*Oracle fine-grained access control 可以实现数据库对象行级别的权限控制 以下测试表为例: manager 只可以更改自己的 employee的行, 而不可以更改其它mananger 所拥有的employee 的行 */

CONNECT system/yJdg2U1v AS sysdba

--授予HR权限

GRANT CONNECT,RESOURCE,UNLIMITED TABLESPACE,CREATE ANY CONTEXT, CREATE PROCEDURE,

CREATE ANY TRIGGER TO HR IDENTIFIED BY HR;

CONNECT hr/hr;

--创建两张测试表

CREATE TABLE Directory (Empno NUMBER(4) NOT NULL,

Mgrno NUMBER(4) NOT NULL,

Rank NUMBER(7,2) NOT NULL);

CREATE TABLE Payroll (Empno NUMBER(4) NOT NULL,

Name VARCHAR(30) NOT NULL );

--插入测试数据

INSERT INTO Directory VALUES (1, 1, 1.0);

INSERT INTO Payroll VALUES (1, 'KING');

INSERT INTO Directory VALUES (2, 1, 5);

INSERT INTO Payroll VALUES (2, 'CLARK');

--创建序列

CREATE SEQUENCE Empno_seq START WITH 5;

CREATE SEQUENCE Rank_seq START WITH 100;

--创建上下文

CREATE OR REPLACE CONTEXT Hr_app USING Hr.Hr0_pck;

CREATE OR REPLACE CONTEXT Hr_sec USING Hr.Hr1_pck;

--创建上下文用包

CREATE OR REPLACE PACKAGE Hr0_pck IS

PROCEDURE adjustrankby1(Empno NUMBER);

END;

-- 这一步仅仅进行了简单的测试, 并没有做过多的是设置, 可根据具体情况来设置

CREATE OR REPLACE PACKAGE BODY Hr0_pck IS

PROCEDURE Adjustrankby1(Empno NUMBER) IS

Stmt VARCHAR2(100);

BEGIN

DBMS_SESSION.SET_CONTEXT('hr_app', 'adjstate', 1);

END;

END;

---

CREATE OR REPLACE PACKAGE hr1_pck IS

PROCEDURE setid;

END;

CREATE or REPLACE PACKAGE BODY Hr1_pck IS

PROCEDURE setid IS

id NUMBER;

BEGIN

SELECT Empno

INTO id

FROM Payroll

WHERE Name = SYS_CONTEXT('userenv', 'session_user');

DBMS_SESSION.SET_CONTEXT('hr_sec', 'empno', id);

DBMS_SESSION.SET_CONTEXT('hr_sec', 'appid', id);

EXCEPTION

WHEN NO_DATA_FOUND THEN

INSERT INTO Payroll

(Empno, Name)

VALUES

(Empno_seq.NEXTVAL, SYS_CONTEXT('userenv', 'session_user'));

INSERT INTO Directory

(Empno, Mgrno, Rank)

VALUES

(Empno_seq.CURRVAL, 2, Rank_seq.NEXTVAL);

SELECT Empno

INTO id

FROM Payroll

WHERE Name = sys_context('userenv', 'session_user');

DBMS_SESSION.SET_CONTEXT('hr_sec', 'empno', id);

DBMS_SESSION.SET_CONTEXT('hr_sec', 'appid', id);

WHEN OTHERS THEN

NULL;

END;

END;

GRANT EXECUTE ON Hr1_pck TO public;

CONNECT system/yJdg2U1v AS sysdba

---创建logon 触发器

CREATE OR REPLACE TRIGGER Databasetrigger

AFTER LOGON ON DATABASE

BEGIN

--- 当用户登陆时会执行 hr.Hr1_pck.Setid这个过程来完成设置上下文

hr.Hr1_pck.Setid;

END;

CONNECT hr/hr

-- 这个过程为测试过程, 并非关键步骤

CREATE OR REPLACE PACKAGE hr2_pck IS

FUNCTION Findmgr(Empno NUMBER) RETURN NUMBER;

END;

CREATE OR REPLACE PACKAGE BODY hr2_pck IS

/* insert a new employee record: */

FUNCTION findmgr(empno number) RETURN NUMBER IS

Mgrid NUMBER;

BEGIN

SELECT mgrno INTO mgrid FROM directory WHERE mgrid = empno;

RETURN mgrid;

END;

END;

-- 创建细粒度访问策略用函数

CREATE OR REPLACE FUNCTION secure_updates(ns varchar2,na varchar2)

RETURN VARCHAR2 IS

Results VARCHAR2(100);

BEGIN

IF (sys_context('hr_app','adjstate') = 1)

THEN results := 'mgrno = SYS_CONTEXT('||'''hr_sec'',''empno'')';

ELSE results := '1=2';

END IF;

RETURN Results;

END;

/* 此过程可理解为:当一个session 发出一条sql 命令时候 会通过此过程来改变“谓语动词”,实际上就是 增加了where 条件, 比如: update hr.directory set rank=5, 那么它会根据不同的权限来改写这个条件, 比如改写为:

update hr.directory set rank=5 where mgrno = SYS_CONTEXT('hr_sec', 'empno')

/*

CONNECT system/yJdg2U1v ASsysdba;

---设置细粒度访问权限策略

BEGIN

DBMS_RLS.ADD_POLICY('hr', 'directory', 'secure_update', 'hr', 'secure_updates', 'update',true,true);

END;

-- 此策略类型为update , 还有select ,insert 等类型

--以下为测试过程:

SQL> conn hr/hr;

已连接。

SQL> select * from payroll;

EMPNO NAME

---------- ------------------------------

25 SYSMAN

26 SYS

27 HR

1 KING

2 CLARK

SQL> select * from directory;

EMPNO      MGRNO       RANK

---------- ---------- ----------

27          2        122

26          2         10

1          1         10

2          1         10

--- 登陆触发器已经触发

SQL> update hr.directory set rank=10;

已更新0行。

--- 不允许更改数据

SQL> select sys_context('hr_app','adjstate') from dual;

SYS_CONTEXT('HR_APP','ADJSTATE')

-----------------------------------------------------------------------

-- 设置hr_app 上下文:

SQL> begin

2  Hr0_pck.Adjustrankby1(100);

3  end;

4  /

PL/SQL 过程已成功完成。

SQL> select sys_context('hr_app','adjstate') from dual;

SYS_CONTEXT('HR_APP','ADJSTATE')

-------------------------------------------------------------

1

SQL> update directory set rank=10;

已更新0行。

-- 同样不让更新数据

-- 继续测试:

--创建clark 用户

SQL> create user clark identified by clark;

用户已创建。

SQL> grant dba ,resource,connect to clark;

授权成功。

SQL> conn clark/clark;

已连接。

SQL> select sys_context('hr_app','adjstate') from dual;

SYS_CONTEXT('HR_APP','ADJSTATE')

-----------------------------------------------------------------------

SQL> update hr.directory set rank=10;

已更新0行。

SQL> begin

2  Hr0_pck.Adjustrankby1(100);

3  end;

4  /

Hr0_pck.Adjustrankby1(100);

*

第 2 行出现错误:

ORA-06550: 第 2 行, 第 1 列:

PLS-00201: 必须声明标识符 'HR0_PCK.ADJUSTRANKBY1'

ORA-06550: 第 2 行, 第 1 列:

PL/SQL: Statement ignored

SQL> begin

2  hr.Hr0_pck.Adjustrankby1(100);

3  end;

4  /

PL/SQL 过程已成功完成。

SQL>  select sys_context('hr_app','adjstate') from dual;

SYS_CONTEXT('HR_APP','ADJSTATE')

-----------------------------------------------------------------------

1

SQL> update hr.directory set rank=10;

已更新2行。

SQL> commit;

提交完成。

SQL> select * from hr.directory;

EMPNO      MGRNO       RANK

---------- ---------- ----------

27          2         10

26          2         10

1          1         10

2          1         10

SQL> update hr.directory set rank=111;

已更新2行。

SQL> commit;

提交完成。

SQL> select * from hr.directory;

EMPNO      MGRNO       RANK

---------- ---------- ----------

27          2        111

26          2        111

1          1         10

2          1         10

SQL>

SQL> conn / as sysdba

已连接。

SQL> set wrap off

SQL> create user king identified by king;

用户已创建。

SQL> grant dba,connect,resource to king;

授权成功。

SQL> conn king/king;

已连接。

SQL> update hr.directory set rank=20;

已更新0行。

SQL> begin

2  hr.Hr0_pck.Adjustrankby1(100);

3  end;

4  /

PL/SQL 过程已成功完成。

SQL> update hr.directory set rank=20;

已更新2行。

SQL> commit;

提交完成。

SQL> select * from hr.directory;

EMPNO      MGRNO       RANK

---------- ---------- ----------

27          2        111

26          2        111

1          1         20

2          1         20

SQL>

SQL> create user kkk identified by kkk;

用户已创建。

SQL> grant dba ,connect,resource to kkk;

授权成功。

SQL> conn kkk/kkk;

已连接。

SQL> show user;

USER 为 "KKK"

SQL> begin

2  hr.Hr0_pck.Adjustrankby1(100);

3  end;

4  /

PL/SQL 过程已成功完成。

SQL> update hr.directory set rank=1;

已更新0行。

SQL> select * from hr.directory ;

EMPNO      MGRNO       RANK

---------- ---------- ----------

27          2        111

26          2        111

28          2        123

1          1         20

2          1         20

SQL>

/*ORACLE的细粒度权限访问控制在某些特殊安全要求下确实表现的很出色, 也可以节省大量的代码时间以及代码的维护量*/

三木三土
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oracle数据泵导入导出相关
yhh_peter的博客
02-23 141
登录服务器切换oracle数据库做事前查询与执行sql: su - oracle $sqlplus /nolog SQL> conn / as sysdba 查询用户所在表空间: select * from dba_users where username = ‘USERDB’; select default_tablespace from dba_users where username = ‘USERDB’; 查询directory路径: select * from dba_directories
oracle 相关
iiiiiiiiiiii9的专栏
03-24 430
http://blog.csdn.net/reda0821/article/details/7821007  Linux Error: 111: Connection refused  /etc/hosts 127.0.0.1       localhost.localdomain   localhost  lsnrctl start    重启
oracle授予directory读权限,Oracle对目录文件(directory)的读写操作
weixin_36136552的博客
04-16 5743
Create directory让我们可以在Oracle数据库中灵活的对文件进行读写操作,极大的提高了Oracle的易用性和可扩展性。其语法为:create or replace directory exp_dir as '/tmp';目录创建以后,就可以把读写权限授予特定用户,例如:grant read, write on directory exp_dir to eygle;此时用户eygle...
关于Oracle数据库的权限管理
m0_67998130的博客
10-27 1333
权限传递有两种方式with admin option 和 with grant option,这两种方式的特点是 with admin option: 用户A可以将拥有权限赋予用户B,如果用户A的该权限被收回了,用户B是不会受到 影响,该方式用于系统权限 with grant option:用户A可以将拥有权限赋予用户B,如果用户A的该权限被收回了,用户B也会被收回, 该方式用于对象权限。ps:用户A可以将拥有权限赋予用户B,如果用户A的该权限被收回了,用户B也会被收回,该方式用于 对象权限
oracle FGAC细粒度访问控制)介绍
老徐的博客只有干货
01-02 5280
ORACLE中,RLS有时也叫做虚拟私有数据库(VPD)或者细粒度访问控制FGAC)。 RLS由8i引进,利用这一特性我们可以对表定义安全策略(并且指明对表的操作类型),实现对用户可以看到或者修改的数据进行限制。 这个功能大部分通过内置包DBMS_RLS实现。下面通过一个实例说明,详细情况请查阅官方文档: -----------------------------------------
Oracle 19C OCP课堂笔记.zip
12-23
- **Fine-Grained Access Control (FGAC)**: 提供细粒度权限控制,以限制对敏感数据的访问。 - **Virtual Private Database (VPD)**: 在行级别应用安全策略,以实现数据的隔离和安全性。 - **Data Redaction**:...
Oracle 11G 11.2.0.3 Client for windows 64位
12-13
- Oracle 11g加强了安全性,如使用Fine-grained Access Control(FGAC)实现细粒度权限控制,审计功能更加完善。 - 数据库用户和角色的管理是基础,通过GRANT和REVOKE命令分配和回收权限。 6. **性能优化**: - ...
oracle11.2安装包.zip
03-05
- **精细访问控制**:增加了Fine-Grained Access Control (FGAC),提供了更细粒度权限管理。 - **透明数据加密**:增强了 Transparent Data Encryption (TDE),可以对表空间进行全盘加密,保护敏感数据。 - **...
oracle 虚拟专用数据库详细介绍
09-09
Oracle虚拟专用数据库(Virtual Private Database, VPD)是一种高级安全机制,它允许数据库管理员限制不同用户访问特定的数据,实现细粒度的访问控制。VPD主要用于保护敏感信息,确保数据隔离,使得用户只能看到他们...
基于Oracle虚拟专用数据库的用户管理的设计.pdf
10-10
综上所述,Oracle虚拟专用数据库通过细粒度访问控制和应用程序上下文提供了一种高效且安全的用户管理方案,能够确保每个用户只能访问其被授权的数据。同时,采用最终用户与数据库用户一一映射的设计模型,进一步增强...
oracleFGAC(Fine Grainted Access)
cqq1799的博客
09-17 119
Oracle's Fine Grained Access Control (FGAC) provides a row-level security mechanism that's built-in to the Oracle ...
ORACLE FGAC(细粒度权限控制)
coabmixr238253的博客
07-17 292
ORACLE FGAC(细粒度权限控制)http://www.itpub.net/thread-1037232-1-1.html细粒度访问控制 (FGAC)。FGAC,也称为行级安全性,是一种可以根据数据内容限制访问的...
Oracle 登录链接数据库,查询建立directory文件,并授读写权限
热门推荐
80后大叔爱学习
08-15 1万+
一、登录链接数据库 操作步骤: 1、打开cmd控制台 2、输入sqlplus 3、输入用户名:sqlplus/as sysdba 密码:直接回车(空) 4、建立directory文件夹:我的路径是d:\tian create directory tian as 'd:\tian'; 必须有分号(;) 5、给directory授予读写权限,system是我登录使...
Oracle Directory(目录)介绍
coco3600的博客
12-14 2441
Oracle Directory(目录)介绍 OracleDirectory(目录)可以让用户在Oracle数据库中灵活地对文件进行读写操作,极大地提高了Oracle的易用性和可扩展性。其语法如下所...
oracle赋权directory,ORACLE DIRECTORY目录管理步骤
weixin_28921621的博客
04-10 3799
ORACLE DIRECTORY目录管理步骤ORACLE的DIRECTORY在数据库中是个目录的路径,需要在操作系统中有相应的目录与之对应;ORACLE目录的作用就是让ORACLE数据库和操作系统之前进行文件的交互,最常见的就是数据泵的导入和导出;DIRECTORY的管理步骤:1、创建:CREATE [OR REPLACE] DIRECTORY directory AS 'pathname' ;例...
oracle中directory的使用
weixin_34258078的博客
07-21 779
 今天在学习data dump的时候遇到了directory参数,但不知道其具体的创建和使用用法。 ‍1. Create directory让我们可以在Oracle数据库中灵活的对文件进行读写操作,极大的提高了Oracle的易用性和可扩展性。 其语法为: CREATE [OR REPLACE] DIRECTORY directory AS 'pathname'; 本案例具体创建如下: c...
oracle中directory是什么,oracle中directory的使用
weixin_39872893的博客
04-02 2202
今天在学习data dump的时候遇到了directory参数,但不知道其具体的创建和使用用法。‍1. Create directory让我们可以在Oracle数据库中灵活的对文件进行读写操作,极大的提高了Oracle的易用性和可扩展性。其语法为:CREATE [OR REPLACE] DIRECTORY directory AS 'pathname';本案例具体创建如下:create or re...
oracle指定生成文件路径,oracle中directory的使用
weixin_35541666的博客
04-05 1698
今天在学习data dump的时候遇到了directory参数,但不知道其具体的创建和使用用法。‍1. Create directory让我们可以在Oracle数据库中灵活的对文件进行读写操作,极大的提高了Oracle的易用性和可扩展性。其语法为:CREATE [OR REPLACE] DIRECTORY directory AS 'pathname';本案例具体创建如下:create or re...
ORACLE FGAC(细粒度权限控制)(转)
cqq1799的博客
09-17 162
ORACLE FGAC(细粒度权限控制)转自:http://www.itpub.net/thread-1037232-1-1.html --主要完成ORACLE fine-grained access control , 以及...
Oracle系统权限和对象权限
最新发布
03-05
Oracle数据库中,系统权限是赋予用户的权限,允许他们执行某些系统级别的操作,这些操作通常涉及到整个数据库或数据库的多个部分。例如,"ADVISOR"权限允许用户通过PL/SQL包(如DBMS_ADVISOR和DBMS_SQLTUNE)访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值