FlinkSQL行级权限解决方案及源码

最新推荐文章于 2023-03-01 11:08:06 发布
置顶 最新推荐文章于 2023-03-01 11:08:06 发布
阅读量678 收藏 2
点赞数 1
分类专栏: Flink 文章标签: flink FlinkSQL Calcite Lineage
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xin_jmail/article/details/129055928
版权

FlinkSQL的行级权限解决方案及源码,支持面向用户级别的行级数据访问控制,即特定用户只能访问授权过的行,隐藏未授权的行数据。此方案是实时领域Flink的解决方案,类似离线数仓Hive中Ranger Row-level Filter方案。

源码地址: https://github.com/HamaWhiteGG/flink-sql-security

注: 此方案已产品化集成到实时计算平台Dinky,欢迎试用。

一、基础知识

1.1 行级权限

行级权限即横向数据安全保护,可以解决不同人员只允许访问不同数据行的问题。例如针对订单表,用户A只能查看到北京区域的数据,用户B只能查看到杭州区域的数据。
在这里插入图片描述

1.2 业务流程

1.2.1 设置行级权限

管理员配置用户、表、行级权限条件,例如下面的配置。

序号用户名表名行级权限条件
1用户Aordersregion = ‘beijing’
2用户Bordersregion = ‘hangzhou’
1.2.2 用户查询数据

用户在系统上查询orders表的数据时,系统在底层查询时会根据该用户的行级权限条件来自动过滤数据,即让行级权限生效。

当用户A和用户B在执行下面相同的SQL时,会查看到不同的结果数据。

SELECT * FROM orders;

用户A查看到的结果数据是:

order_idorder_datecustomer_namepriceproduct_idorder_statusregion
100012020-07-30 10:08:22Jack50.50102falsebeijing
100022020-07-30 10:11:09Sally15.00105falsebeijing

注: 系统底层最终执行的SQL是: SELECT * FROM orders WHERE region = 'beijing'


用户B查看到的结果数据是:

order_idorder_datecustomer_namepriceproduct_idorder_statusregion
100032020-07-30 12:00:30Edward25.25106falsehangzhou
100042022-12-15 12:11:09John78.00103falsehangzhou

注: 系统底层最终执行的SQL是: SELECT * FROM orders WHERE region = 'hangzhou'

1.3 组件版本

组件名称版本备注
Flink1.16.0
Flink-connector-mysql-cdc2.3.0

二、Hive行级权限解决方案

在离线数仓工具Hive领域,由于发展多年已有Ranger来支持表数据的行级权限控制,详见参考文献[2]。下图是在Ranger里配置Hive表行级过滤条件的页面,供参考。
在这里插入图片描述

但由于Flink实时数仓领域发展相对较短,Ranger还不支持FlinkSQL,以及要依赖Ranger会导致系统部署和运维过重,因此开始自研实时数仓的行级权限解决工具

三、FlinkSQL行级权限解决方案

3.1 解决方案

3.1.1 FlinkSQL执行流程

可以参考作者文章[FlinkSQL字段血缘解决方案及源码],本文根据Flink1.16修正和简化后的执行流程如下图所示。
在这里插入图片描述
在CalciteParser.parse()处理后会得到一个SqlNode类型的抽象语法树(Abstract Syntax Tree,简称AST),本文会在Parse阶段,通过组装行级过滤条件生成新的AST来实现行级权限控制。

3.1.2 Calcite对象继承关系

下面章节要用到Calcite中的SqlNode、SqlCall、SqlIdentifier、SqlJoin、SqlBasicCall和SqlSelect等类,此处进行简单介绍以及展示它们间继承关系,以便读者阅读本文源码。

序号介绍
1SqlNodeA SqlNode is a SQL parse tree.
2SqlCallA SqlCall is a call to an SqlOperator operator.
3SqlIdentifierA SqlIdentifier is an identifier, possibly compound.
4SqlJoinParse tree node representing a JOIN clause.
5SqlBasicCallImplementation of SqlCall that keeps its operands in an array.
6SqlSelectA SqlSelect is a node of a parse tree which represents a select statement.

在这里插入图片描述

3.1.3 解决思路

在Parser阶段,如果执行的SQL包含对表的查询操作,则一定会构建Calcite SqlSelect对象。因此限制表的行级权限,只要在构建Calcite SqlSelect对象时对Where条件进行拦截即可,而不需要解析用户执行的各种SQL来查找配置过行级权限条件约束的表。

在SqlSelect对象构造Where条件时,要通过执行用户和表名来查找配置的行级权限条件,系统会把此条件用CalciteParser提供的parseExpression(String sqlExpression)方法解析生成一个SqlBacicCall再返回。然后结合用户执行的SQL和配置的行级权限条件重新组装Where条件,即生成新的带行级过滤条件Abstract Syntax Tree,最后基于新的AST再执行后续的Validate、Convert、Optimize和Execute阶段。
在这里插入图片描述

以上整个过程对执行SQL的用户都是透明和无感知的,还是调用Flink自带的TableEnvironment.executeSql(String statement)方法即可。

注: 要通过技术手段把执行用户传递到Calcite SqlSelect中。

3.2 重写SQL

主要在org.apache.calcite.sql.SqlSelect的构造方法中完成。

3.2.1 主要流程

主流程如下图所示,根据From的类型进行不同的操作,例如针对SqlJoin类型,要分别遍历其left和right节点,而且要支持递归操作以便支持三张表及以上JOIN;针对SqlIdentifier类型,要额外判断下是否来自JOIN,如果是的话且JOIN时且未定义表别名,则用表名作为别名;针对SqlBasicCall类型,如果来自于子查询,说明已在子查询中组装过行级权限条件,则直接返回当前Where即可,否则分别取出表名和别名。

然后再获取行级权限条件解析后生成SqlBacicCall类型的Permissions,并给Permissions增加别名,最后把已有Where和Permissions进行组装生成新的Where,来作为SqlSelect对象的Where约束。
在这里插入图片描述

上述流程图的各个分支,都会在下面的用例测试章节中会举例说明。

3.2.2 核心源码

核心源码位于SqlSelect中新增的addCondition()addPermission()buildWhereClause()三个方法,下面只给出控制主流程addCondition()的源码。

/**
 * The main process of controlling row-level permissions
 */
private SqlNode addCondition(SqlNode from, SqlNode where, boolean fromJoin) {
    if (from instanceof SqlIdentifier) {
        String tableName = from.toString();
        // the table name is used as an alias for join
        String tableAlias = fromJoin ? tableName : null;
        return addPermission(where, tableName, tableAlias);
    } else if (from instanceof SqlJoin) {
        SqlJoin sqlJoin = (SqlJoin) from;
        // support recursive processing, such as join for three tables, process left sqlNode
        where = addCondition(sqlJoin.getLeft(), where, true);
        // process right sqlNode
        return addCondition(sqlJoin.getRight(), where, true);
    } else if (from instanceof SqlBasicCall) {
        // Table has an alias or comes from a subquery
        SqlNode[] tableNodes = ((SqlBasicCall) from).getOperands();
        /**
         * If there is a subquery in the Join, row-level filtering has been appended to the subquery.
         * What is returned here is the SqlSelect type, just return the original where directly
         */
        if (!(tableNodes[0] instanceof SqlIdentifier)) {
            return where;
        }
        String tableName = tableNodes[0].toString();
        String tableAlias = tableNodes[1].toString();
        return addPermission(where, tableName, tableAlias);
    }
    return where;
}

四、用例测试

用例测试数据来自于CDC Connectors for Apache Flink
[6]官网,在此表示感谢。下载本文源码后,可通过Maven运行单元测试。

$ cd flink-sql-security
$ mvn test

4.1 新建Mysql表及初始化数据

Mysql新建表语句及初始化数据SQL详见源码[flink-sql-security/data/database]里面的mysql_ddl.sql和mysql_init.sql文件,本文给orders表增加一个region字段。

4.2 新建Flink表

4.2.1 新建mysql cdc类型的orders表
DROP TABLE IF EXISTS orders;

CREATE TABLE IF NOT EXISTS orders (
    order_id INT PRIMARY KEY NOT ENFORCED,
    order_date TIMESTAMP(0),
    customer_name STRING,
    product_id INT,
    price DECIMAL(10, 5),
    order_status BOOLEAN,
    region STRING
) WITH (
    'connector'='mysql-cdc',
    'hostname'='xxx.xxx.xxx.xxx',
    'port'='3306',
    'username'='root',
    'password'='xxx',
    'server-time-zone'='Asia/Shanghai',
    'database-name'='demo',
    'table-name'='orders'
);
4.2.2 新建mysql cdc类型的products表
DROP TABLE IF EXISTS products;

CREATE TABLE IF NOT EXISTS products (
    id INT PRIMARY KEY NOT ENFORCED,
    name STRING,
    description STRING
) WITH (
    'connector'='mysql-cdc',
    'hostname'='xxx.xxx.xxx.xxx',
    'port'='3306',
    'username'='root',
    'password'='xxx',
    'server-time-zone'='Asia/Shanghai',
    'database-name'='demo',
    'table-name'='products'
);
4.2.3 新建mysql cdc类型shipments表
DROP TABLE IF EXISTS shipments;

CREATE TABLE IF NOT EXISTS shipments (
    shipment_id INT PRIMARY KEY NOT ENFORCED,
    order_id INT,
    origin STRING,
    destination STRING,
    is_arrived BOOLEAN
) WITH (
    'connector'='mysql-cdc',
    'hostname'='xxx.xxx.xxx.xxx',
    'port'='3306',
    'username'='root',
    'password'='xxx',
    'server-time-zone'='Asia/Shanghai',
    'database-name'='demo',
    'table-name'='shipments'
);
4.2.4 新建print类型print_sink表
DROP TABLE IF EXISTS print_sink;

CREATE TABLE IF NOT EXISTS print_sink (
    order_id INT PRIMARY KEY NOT ENFORCED,
    order_date TIMESTAMP(0),
    customer_name STRING,
    product_id INT,
    price DECIMAL(10, 5),
    order_status BOOLEAN,
    region STRING
) WITH (
    'connector'='print'
);

4.3 测试用例

详细测试用例可查看源码中的单测,下面只描述部分测试点。

4.3.1 简单SELECT
4.3.1.1 行级权限条件
序号用户名表名行级权限条件
1用户Aordersregion = ‘beijing’
4.3.1.2 输入SQL
SELECT * FROM orders;
4.3.1.3 输出SQL
SELECT * FROM orders WHERE region = 'beijing';
4.3.1.4 测试小结

输入SQL中没有WHERE条件,只需要把行级过滤条件region = 'beijing'追加到WHERE后即可。

4.3.2 SELECT带复杂WHERE约束
4.3.2.1 行级权限条件
序号用户名表名行级权限条件
1用户Aordersregion = ‘beijing’
4.3.2.2 输入SQL
SELECT * FROM orders WHERE price > 45.0 OR customer_name = 'John';
4.3.2.3 输出SQL
SELECT * FROM orders WHERE (price > 45.0 OR customer_name = 'John') AND region = 'beijing';
4.3.2.4 测试小结

输入SQL中有两个约束条件,中间用的是OR,因此在组装region = 'beijing'时,要给已有的price > 45.0 OR customer_name = 'John'增加括号。

4.3.3 两表JOIN且含子查询
4.3.3.1 行级权限条件
序号用户名表名行级权限条件
1用户Aordersregion = ‘beijing’
4.3.3.2 输入SQL
SELECT
    o.*,
    p.name,
    p.description
FROM 
    (SELECT
        *
     FROM 
        orders
     WHERE 
        order_status = FALSE
    ) AS o
LEFT JOIN products AS p ON o.product_id = p.id
WHERE
    o.price > 45.0 OR o.customer_name = 'John'
4.3.3.3 输出SQL
SELECT
    o.*,
    p.name,
    p.description
FROM 
    (SELECT
        *
     FROM 
        orders
     WHERE 
        order_status = FALSE AND region = 'beijing'
    ) AS o
LEFT JOIN products AS p ON o.product_id = p.id
WHERE
    o.price > 45.0 OR o.customer_name = 'John'
4.3.3.4 测试小结

针对比较复杂的SQL,例如两表在JOIN时且其中左表来自于子查询SELECT * FROM orders WHERE order_status = FALSE,行级过滤条件region = 'beijing'只会追加到子查询的里面。

4.3.4 三表JOIN
4.3.4.1 行级权限条件
序号用户名表名行级权限条件
1用户Aordersregion = ‘beijing’
2用户Aproductsname = ‘hammer’
3用户Ashipmentsis_arrived = FALSE
4.3.4.2 输入SQL
SELECT
  o.*,
  p.name,
  p.description,
  s.shipment_id,
  s.origin,
  s.destination,
  s.is_arrived
FROM
  orders AS o
  LEFT JOIN products AS p ON o.product_id=p.id
  LEFT JOIN shipments AS s ON o.order_id=s.order_id;
4.3.4.3 输出SQL
SELECT
  o.*,
  p.name,
  p.description,
  s.shipment_id,
  s.origin,
  s.destination,
  s.is_arrived
FROM
  orders AS o
  LEFT JOIN products AS p ON o.product_id=p.id
  LEFT JOIN shipments AS s ON o.order_id=s.order_id
WHERE
  o.region='beijing'
  AND p.name='hammer'
  AND s.is_arrived=FALSE;
4.3.4.4 测试小结

三张表进行JOIN时,会分别获取ordersproductsshipments三张表的行级权限条件: region = 'beijing'name = 'hammer'is_arrived = FALSE,然后增加orders表的别名o、products表的别名p、shipments表的别名s,最后组装到WHERE子句后面。

4.3.5 INSERT来自带子查询的SELECT
4.3.5.1 行级权限条件
序号用户名表名行级权限条件
1用户Aordersregion = ‘beijing’
4.3.5.2 输入SQL
INSERT INTO print_sink SELECT * FROM (SELECT * FROM orders);
4.3.5.3 输出SQL
INSERT INTO print_sink (SELECT * FROM (SELECT * FROM orders WHERE region = 'beijing'));
4.3.5.4 测试小结

无论运行SQL类型是INSERT、SELECT或者其他,只会找到查询oders表的子句,然后对其组装行级权限条件。

4.3.6 运行SQL

测试两个不同用户执行相同的SQL,两个用户的行级权限条件不一样。

4.3.6.1 行级权限条件
序号用户名表名行级权限条件
1用户Aordersregion = ‘beijing’
2用户Bordersregion = ‘hangzhou’
4.3.6.2 输入SQL
SELECT * FROM orders;
4.3.6.3 执行SQL

用户A的真实执行SQL:

SELECT * FROM orders WHERE region = 'beijing';

用户B的真实执行SQL:

SELECT * FROM orders WHERE region = 'hangzhou';
4.3.6.4 测试小结

用户调用下面的执行方法,除传递要执行的SQL参数外,只需要额外指定执行的用户即可,便能自动按照行级权限限制来执行。

/**
 * Execute the single sql with user permissions
 */
public TableResult execute(String username, String singleSql) {
    System.setProperty(EXECUTE_USERNAME, username);
    return tableEnv.executeSql(singleSql);
}

五、源码修改步骤

注: Flink版本1.16.0依赖的Calcite是1.26.0版本。

5.1 新增Parser和ParserImpl类

复制Flink源码中的org.apache.flink.table.delegation.Parser和org.apache.flink.table.planner.delegation.ParserImpl到项目下,新增下面两个方法及实现。

/**
 * Parses a SQL expression into a {@link SqlNode}. The {@link SqlNode} is not yet validated.
 *
 * @param sqlExpression a SQL expression string to parse
 * @return a parsed SQL node
 * @throws SqlParserException if an exception is thrown when parsing the statement
 */
@Override
public SqlNode parseExpression(String sqlExpression) {
    CalciteParser parser = calciteParserSupplier.get();
    return parser.parseExpression(sqlExpression);
}


/**
 * Entry point for parsing SQL queries and return the abstract syntax tree
 *
 * @param statement the SQL statement to evaluate
 * @return abstract syntax tree
 * @throws org.apache.flink.table.api.SqlParserException when failed to parse the statement
 */
@Override
public SqlNode parseSql(String statement) {
    CalciteParser parser = calciteParserSupplier.get();

    // use parseSqlList here because we need to support statement end with ';' in sql client.
    SqlNodeList sqlNodeList = parser.parseSqlList(statement);
    List<SqlNode> parsed = sqlNodeList.getList();
    Preconditions.checkArgument(parsed.size() == 1, "only single statement supported");
    return parsed.get(0);
}

5.2 新增SqlSelect类

复制Calcite源码中的org.apache.calcite.sql.SqlSelect到项目下,新增上文提到的addCondition()addPermission()buildWhereClause()三个方法。
并且在构造方法中注释掉原有的this.where = where行,并添加如下代码:

// add row level filter condition for where clause
SqlNode rowFilterWhere = addCondition(from, where, false);
if (rowFilterWhere != where) {
    LOG.info("Rewritten SQL based on row-level privilege filtering for user [{}]", System.getProperty(EXECUTE_USERNAME));
}
this.where = rowFilterWhere;

5.3 封装SecurityContext类

新建SecurityContext类,主要添加下面三个方法:

/**
 * Add row-level filter conditions and return new SQL
 */
public String addRowFilter(String username, String singleSql) {
    System.setProperty(EXECUTE_USERNAME, username);

    // in the modified SqlSelect, filter conditions will be added to the where clause
    SqlNode parsedTree = tableEnv.getParser().parseSql(singleSql);
    return parsedTree.toString();
}


/**
 * Query the configured permission point according to the user name and table name, and return
 * it to SqlBasicCall
 */
public SqlBasicCall queryPermissions(String username, String tableName) {
    String permissions = rowLevelPermissions.get(username, tableName);
    LOG.info("username: {}, tableName: {}, permissions: {}", username, tableName, permissions);
    if (permissions != null) {
        return (SqlBasicCall) tableEnv.getParser().parseExpression(permissions);
    }
    return null;
}


/**
 * Execute the single sql with user permissions
 */
public TableResult execute(String username, String singleSql) {
    System.setProperty(EXECUTE_USERNAME, username);
    return tableEnv.executeSql(singleSql);
}

六、下一步计划

  1. 支持数据脱敏(Data Masking)
  2. 开发ranger-flink-plugin

七、参考文献

  1. 数据管理DMS-敏感数据管理-行级管控
  2. Apache Ranger Row-level Filter
  3. OpenLooKeng的行级权限控制
  4. PostgreSQL中的行级权限/数据权限/行安全策略
  5. FlinkSQL字段血缘解决方案及源码
  6. 基于 Flink CDC 构建 MySQL 和 Postgres 的 Streaming ETL
数据探险家
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SQL server数据库的权限设置
weixin_34378767的博客
04-14 2959
一、登录权限SQL server的身份验证模式有以下两种:1、 Windows身份验证模式:当使用我你当我是用户身份验证时,SQL server会使用操作系统中的Windows用户和密码。也就是说,当用户身份由Windows进行验证,SQL server不要求提供密码,也不执行身份验证。Windows身份验证是比SQL server身份验证更为安全的,可以保护SQL server免受大部分...
flink + Atlas 任务数据血缘调通_atlas flink
最新发布
2401_84166896的博客
04-27 330
【代码】flink + Atlas 任务数据血缘调通_atlas flink
一个关于行级数据权限模型的问题
06-04 2723
举个例子,就拿销售数据来说 A销售员可以看到自己的销售情况和每一笔具体销售业务,但是看不到B的 同样, B销售员可以看到自己的销售情况和每一笔具体销售业务,但是看不到A的 而销售经理则可以看到A和B的销售情况
QuickBI助你成为分析师-保证数据安全:行级权限
weixin_34293059的博客
04-11 388
Quick BI 的行级权限就可以实现在一份报表中,不同的人/用户组看不同的数据。目前只有高级版、专业版有行级权限的功能。 以一个销售团队为例,如果该销售团队的业务范围是全国,那么意味着他们需要随时掌握30多个省的销售情况,而且每一个省还有若干个城市,每一个城市还有若干个县;随着业务量的不断增大和扩容,他们所要查阅的销售数据也会日益增加。 在如此庞大且复...
SQL Server 中授予行级权限
云中客的专栏
06-13 1740
某些方案中会要求更为细致地控制访问,而不仅仅是授予、撤消或拒绝对数据的权限。 例如,医院数据库应用程序可能会将患者信息存储在单个表中。 可能需要限制医生仅查看与他们自己的患者相关的信息。 在很多环境中(包括财务、法律、政府和军事应用程序)都存在类似的方案。 不过,SQL Server 并不支持实现行级安全性。 您必须在表中创建附加列以定义行筛选机制。  实现行级权限  
权限控制系统设计及Spark SQL 数据权限控制设计
半日闲的博客
05-18 668
权限控制系统基础 权限控制系统设计在OA系统,数据系统中其实都差不多,离不开三级体系设计: Role, User, Principal. 具体叫法在各个系统的实现上会有差别。 Role : 多个User 属于一个Role,User 用于Role 的所有权限。 User : 系统用户,User 一般我们会做登录鉴权,在权限控制体系中,一般都是用于获取Role 的相关信息 Principal : 这个中文不知道怎么翻译,我的理解就是一个具体权限的描述,包括<Role, Object, Privilege
POWERBI|行级权限
_于夏的博客
06-15 3840
本文主要介绍powerbi行级权限的实现过程。
Mysql事务并发问题解决方案
12-14
本篇文章将深入探讨MySQL中的事务并发问题及其解决方案,包括悲观锁和乐观锁的应用。 首先,问题背景是在视频观看记录更新场景中,当用户观看进度达到100%时,后续请求不再更新。然而,由于并发事务处理不当,出现...
数据中心的需求及解决方案.pdf
10-13
2. 整体解决方案提供商:选择能够提供一站式服务的供应商,包括供配电、制冷、机柜、管理系统等全套解决方案,以减少协调和管理的复杂性。 3. 技术培训和教育:通过培训提高用户对数据中心技术和管理的理解,帮助...
Mysql 行级锁的使用及死锁的预防方案
09-09
MySQL中的InnoDB存储引擎支持事务处理,并且具备行级锁定机制,这使得它在处理并发事务时具有较高的效率。行级锁能确保并发操作时仅锁定受影响的行,而不是整个表,这对于处理如用户提现这类高并发场景尤其有用。...
模块化数据中心解决方案.pptx
10-13
模块化数据中心解决方案是一种高效、灵活的数据中心构建方式,旨在应对日益增长的IT需求和资源管理挑战。这种解决方案的核心是将数据中心的各项基础设施,如电源、冷却、监控和管理,设计成可独立扩展和替换的模块,...
使用django-guardian实现django-admin的行级权限控制的方法
09-20
主要介绍了使用django-guardian实现django-admin的行级权限控制的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于采用Oralce行级安全策略解决应用系统数据权限的论述
02-26
我们在开发应用系统时,经常遇到这样的问题:用户只被允许访问某张表的一部分数据,而且无论使用哪个界面,都只能访问这一部分数据。比如,用户A只能访问装货港是上海的委托。通常我们会在SQL语句中加入条件来过滤数据。但是,这种做法最大的缺点是可修改性差。由于过滤条件固化在代码中,如果用户的访问规则变了,就必须修改源代码;又因为系统中会存在多处代码访问同一张表,程序员必须逐一修改,既费时费力,又容易出错。 解决上述问题的办法可能有很多。比如,在SQL中嵌入宏变量,再为每一个宏变量配置相应的过滤条件等。这些方法虽然一定程度上消除了上述问题,但是往往也增加了系统的复杂性。本文旨在利用Oracle已有的行级安全策略,为有类似问题的项目组提供一种全新的解决方案
SQL控制数据库访问权限DCL
tuantuanpro的博客
08-06 389
1.用户管理create user '用户名'@'主机号' identified by '密码';alter user '用户名'@'主机号' identified by '新密码';drop user '用户名'@'主机号';2.权限控制grant 权限 on 数据库存.表 to '用户名'@'主机号'revoke 权限 on 数据库存.表 to '用户名'@'主机号';...
QlikView中行级权限设置
zplume的专栏
03-25 2968
博客前言: 企业级报表通常都涉及到复杂的权限问题, 比如文本级权限行级权限,某区域经理只能看到该区域的销售数据。QlikView自然也提供了该种功能。 具体方法: 在Edit script中新建一个tab, 输入如下语句: Section Access; LOAD * INLINE [ ACCESS, USERID, PASSWORD, COUNTRY ADMIN, ADMI
用一个简单的UserCase,带你认识openLooKeng的行级权限控制
openLooKeng的博客
11-11 276
Hi,朋友。openLooKeng近期带来了许多技术干货,前有安装部署,后有安全认证机制、Hash Join的使用介绍等等,如果您正在使用openLooKeng, 希望这些技术博客能够帮助到您。本期,社区小伙伴将用一个User Case,简单介绍openLooKeng的行级权限控制。 openLooKeng的行级权限控制 行级权限的作用 通过 Rowfilter 实现对表数据行级别的权限控制:指定特定用户只能访问授权过的行,隐藏未授权的行数据。 Use Case 源数据表: 配置Rowfilter策略:
FlinkSQL字段血缘解决方案源码
Hama White 的博客
08-15 5338
FlinkSQL字段血缘解决方案源码
【metabase二次开发 • 五】行级权限运作解析
weixin_43821438的博客
12-24 1058
文章目录行级权限apply-row-level-permissionsapply-gtapsapply-gtapgtap->sourcegtap->parameters 行级权限 metabase运行的middleware中包含4个enterprise edition的方法,其中 middleware.row_level_restrictions/apply-row-level-permissions 处理行级权限 开启行级权限后,一次图表查询可能会触发多次DP流程,因为组装行级权限过程
FlinkSQL行级权限解决方案源码
阿里云技术
03-01 513
FlinkSQL行级权限解决方案源码,支持面向用户级别的行级数据访问控制,即特定用户只能访问授权过的行,隐藏未授权的行数据。此方案是实时领域Flink解决方案,类似离线数仓Hive中Ranger Row-level Filter方案。
模块化数据中心机房解决方案(28页).pdf
05-14
"该文档详细介绍了模块化数据中心机房的解决方案,包括产品定位、组成、特点、应用场景以及各种系统配置。模块化数据中心旨在解决业务需求的快速变化与低成本、高回报之间的矛盾,适应云计算、虚拟化等技术的发展,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值