dbms_rls

最新推荐文章于 2023-10-20 08:13:02 发布
最新推荐文章于 2023-10-20 08:13:02 发布
阅读量639 收藏
点赞数
分类专栏: OCP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiadingling/article/details/8350116
版权

dbms_rls

Overview

The functionality to support fine-grained access control is based on dynamic predicates, where security rules are not embedded in views, but are acquired at the statement parse time, when the base table or view is referenced in a DML statement.

A dynamic predicate for a table, view, or synonym is generated by a PL/SQL function, which is associated with a security policy through a PL/SQL interface. For example:

DBMS_RLS.ADD_POLICY (
   'hr', 'employees', 'emp_policy', 'hr', 'emp_sec', 'select');

Whenever the EMPLOYEES table, under the HR schema, is referenced in a query or subquery (SELECT), the server calls the EMP_SEC function (under the HRschema). This function returns a predicate specific to the current user for the EMP_POLICY policy. The policy function may generate the predicates based on the session environment variables available during the function call. These variables usually appear in the form of application contexts. The policy can specify any combination of security-relevant columns and of these statement types: INDEXSELECT, INSERT, UPDATE, or DELETE.

The server then produces a transient view with the text:

SELECT * FROM hr.employees WHERE P1

Here, P1 (for example, where SAL > 10000, or even a subquery) is the predicate returned from the EMP_SEC function. The server treats the EMPLOYEES table as a view and does the view expansion just like the ordinary view, except that the view text is taken from the transient view instead of the data dictionary.

If the predicate contains subqueries, then the owner (definer) of the policy function is used to resolve objects within the subqueries and checks security for those objects. In other words, users who have access privilege to the policy-protected objects do not need to know anything about the policy. They do not need to be granted object privileges for any underlying security policy. Furthermore, the users do not require EXECUTE privilege on the policy function, because the server makes the call with the function definer's right.

Note:

The transient view can preserve the updatability of the parent object because it is derived from a single table or view with predicate only; that is, no  JOINORDER  BYGROUP  BY, and so on.

DBMS_RLS also provides the interface to drop or enable security policies. For example, you can drop or enable the EMP_POLICY with the following PL/SQL statements:

DBMS_RLS.DROP_POLICY('hr', 'employees', 'emp_policy'); 
DBMS_RLS.ENABLE_POLICY('hr', 'employees', 'emp_policy', FALSE);

policy type

Table 89-4 DBMS_RLS.ADD_POLICY Policy Types

Policy TypeDescription

STATIC

Predicate is assumed to be the same regardless of the runtime environment. Static policy functions are executed once and then cached in SGA. Statements accessing the same object do not reexecute the policy function. However, each execution of the same cursor could produce a different row set even for the same predicate because the predicate may filter the data differently based on attributes such as SYS_CONTEXT or SYSDATE. Applies to only one object.

SHARED_STATIC

Same as STATIC except that the server first looks for a cached predicate generated by the same policy function of the same policy type. Shared across multiple objects.

CONTEXT_SENSITIVE

Server re-evaluates the policy function at statement execution time if it detects context changes since the last use of the cursor. For session pooling where multiple clients share a database session, the middle tier must reset context during client switches. Note that the server does not cache the value returned by the function for this policy type; it always executes the policy function on statement parsing. Applies to only one object.

SHARED_CONTEXT_SENSITIVE

Same as CONTEXT_SENSITIVE except that the server first looks for a cached predicate generated by the same policy function of the same policy type within the same database session. If the predicate is found in the session memory, the policy function is not reexecuted and the cached value is valid until session private application context changes occur. Shared across multiple objects.

DYNAMIC

The default policy type. Server assumes the predicate may be affected by any system or session environment at any time, and so always reexecutes the policy function on each statement parsing or execution. Applies to only one object.






245.
You want to enforce a company's business policy on several objects by using a single policy function. Which two types of policies can be assigned to the policy_type argument in the dbms_rls.add_policy procedure to achieve the above objective? (Choose two.)
A. DBMS_RLS.STATIC
B. DBMS_RLS.DYNAMIC
C. DBMS_RLS.SHARED_STATIC
D. DBMS_RLS.CONTEXT_SENSITIVE
E. DBMS_RLS.SHARED_CONTEXT_SENSITIVE

Answer: C D
xiadingling
关注
专栏目录
利用DBMS_RLS实现VPD 实例
strikers1982的专栏
04-05 3334
VPD(virtual Private database):虚拟私有数据库,从名字上可能不太好理解。形象地举个例子:比如我们钢铁行业的数据库,既提供给宝钢使用,又提供给鞍钢使用(这个在实际中是不可能的,此处为了说明问题而已),但是要求宝钢只能访问宝钢的数据,鞍钢只能访问鞍钢的数据。这个时候虽然实际只有一个数据库,但是我们可以看成两个数据库,一个宝钢的数据库,一个鞍钢的数据库,此所谓虚拟私有数据库。
mysql rls_DBMS_RLS包实现数据库表行级安全控制
weixin_34665386的博客
02-05 314
DBMS_RLS 是实现数据库表行级别安全控制的,这个包包含精细访问控制管理接口,这个接口是用来实现VPD(Virtual Private Database),虚拟私有数据库。DBMS_RLS只能在ORACLE的企业版(Enterpris Edition Only)本才可以用。oracle ebs 的权限是用这个来管理的。在DBMS_RLS 是实现数据库表行级别安全控制的,这个包包含精细访问控制管...
八、dbms_rls(实现精细访问控制)
weixin_30663471的博客
08-13 153
1、概述 本报只适用于Oracle Enterprise Edition,它用于实现精细访问控制,并且精细访问控制是通过在SQL语句中动态增加谓词(WHERE子句)来实现的.通过使用ORACLE的精细访问控制特征,可以使不同数据库用户在执行相同SQL语句时操作同一张表上的不同数据.例如多个用户执行select * from emp时,各自看到的行数不同。A只能看到财务部的记录,B只能看到市场部的...
DBMS_RLS官方参考
Firefoxboy的空军基地
10-02 995
DBMS_RLS The DBMS_RLS package contains the fine-grained access control administrative interface. Note: DBMS_RLS is only available with the Enterprise Edition.   Dynamic Predicates
Oracle的DBMS_RLS的案例
06-06
以下是一个简单的案例来说明DBMS_RLS如何实现行级安全性: 假设我们有一个表"TBL_SALARY",其中包含每个员工的薪资信息。我们想要确保只有HR部门的员工可以查看所有员工的薪资信息,而其他部门的员工只能查看自己的...
Oracle的DBMS_RLS的所有用法
06-06
DBMS_RLS是Oracle数据库中的一个包,用于实现行级安全性(Row Level Security),即对数据库中的特定行进行访问控制。以下是DBMS_RLS的用法: 1. 创建安全策略函数(Security Policy Function):该函数用于定义...
28 Oracle深度学习笔记——ORACLE自带DBMS函数包
qq_43667669的博客
01-16 5332
                28.Oracle深度学习笔记——ORACLE自带DBMS函数包欢迎转载,转载请标明出处:http://blog.csdn.net/notbaron/article/details/5083088912C 包含
[skgmhash] oracle,执行dbms_workload_repository.create_snapshot出现hang,等待事件enq: WF – contention...
weixin_36290220的博客
04-05 977
背景介绍:有一套在HP上跑的10.2.0.5的RAC系统,我们手动执行AWR快照出现Hang住的情况。问题分析:对于Hang住的情况,我们一般先查v$session,看看这个会话的等待事件是什么。但是这里情况稍微有些不一样,当我们执行DBMS_WORKLOAD_REPOSITORY去创建快照的时候,该进程会去调用m000进程去完成这个操作,当m000进程完成作业之后,才会返回给我们的session...
dbms_rls包的使用
cuili9760的博客
03-09 287
前段时间做一个系统优化时,发现系统中查询语句中添加了很多对会话的限制,系统的名称是xxxxVPD。 当时以为是开发商的什么安全策略,直到看到了oracle的dbms_rls包,才恍然大悟。原来这也是oracle的安全策略啊。 ...
采用oracle的dbms_rls包实现数据访问控制
junmail的专栏
10-07 351
在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)。  但在某些系统中,权限控制又必须定义到数据行访问权限的控制,此需求一般出现在同一系统,不同的相对独立机构使用的情况。(如:集团下属多个子公司,所有子公司使用同一套数据表,但不同子公司的数据相对隔离), 绝大多数人会选择在View加上Where子句来进行数据隔...
DBMS_RLS包实现数据库表行级安全控制
Watson的专栏
06-09 3503
DBMS_RLS 是实现数据库表行级别安全控制的,这个包包含精细访问控制管理接口,这个接口是用来实现VPD(Virtual Private Database),虚拟私有数据库。DBMS_RLS只能在ORACLE的企业版(Enterpris Edition Only)本才可以用。
Oracle的dbms.rls实现数据访问控制
最新发布
欢迎朋友,我是一名十多年开发经验的新手,希望多多指教。
10-20 718
在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)
Oracle策略的使用(dbms_rls.add_policy)
小菜鸟笔记
07-14 5609
数据访问控制权限,是一个在实际项目中用得很平常的问题。比如公司部门,就工资来说,本人只能看到自己的工资信息,不能看到其他同事的信息,部门经理或更高级别的人可以看到他对应权限的信息,看到这里大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、系统适应用户治理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改。除了这种实现,可以采用
oracle FGAC(细粒度访问控制)介绍
老徐的博客只有干货
01-02 5334
在ORACLE中,RLS有时也叫做虚拟私有数据库(VPD)或者细粒度访问控制(FGAC)。 RLS由8i引进,利用这一特性我们可以对表定义安全策略(并且指明对表的操作类型),实现对用户可以看到或者修改的数据进行限制。 这个功能大部分通过内置包DBMS_RLS实现。下面通过一个实例说明,详细情况请查阅官方文档: -----------------------------------------
Oracle PL/SQL进阶编程(第七弹:使用系统包:DBMS_PIPE)
艺术就是爆炸的专栏
08-08 1289
DBMS_PIPE包用于在同一个Oracle的Instance,即例程的不同会话之间进行通信。管道非常类似于UNIX操作系统中的管道,但是Oracle管道并不是使用像在UNIX中那样的操作系统调用的机制,其管道信息被缓存在系统全局区(SGA)中,当关闭Oracle例程时,就会丢失管道信息。管道又可以分为如下两种类型: - 公用管道:指所有数据库用户都可以访问的管道。 - 私有管道:只能由建立管...
oracle Policy的应用--DBMS_RLS.ADD_POLICY
diyyong的专栏
02-20 5932
本文通过以下两篇文章整理所得: http://www.knowsky.com/386463.html http://www.itpub.net/thread-1004775-1-1.html 1 前言   数据访问权限控制,是一个古老而又实际的问题。   在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关金额的字
Oracle基础包之DBMS_RLS(八)
tianxingyun的专栏
11-06 578
概述 本报只适用于Oracle Enterprise Edition,它用于实现精细访问控制,并且精细访问控制是通过在SQL语句中动态增加谓词(WHERE子句)来实现的. 通过使用ORACLE的精细访问控制特征,可以使不同数据库用户在执行相同SQL语句时操作同一张表上的不同数据. 例如多个用户执行select * from emp时,各自看到的行数不同。A只能看到财务部的记录,B只能看到市场部的数据。 包的组成 add_policy 作用: 用于为表、视图或同义词增加一个安全策略,当执行该操作结束是会自动提
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值