使用Oracle VPD实现行级权限

最新推荐文章于 2021-04-10 08:14:37 发布
最新推荐文章于 2021-04-10 08:14:37 发布
阅读量522 收藏 1
点赞数
文章标签: Oracle VPD 行级权限
VPD全称Virtual Private Database,这个技术提供了对数据库信息的细粒度访问控制。关于VPD的更多描述性信息可通过Oracle官方文档获得:http://download.oracle.com/docs/cd/B19306_01/network.102/b14266/apdvpoli.htm#i1009600
通过一个具体案例,体验一下VPD带给我们的功能特点。

1.初始化环境
构造表T,其中包含一个字段X。
sec@ora10g> create table t (x number);
sec@ora10g> insert into t values (1);
sec@ora10g> insert into t values (2);
sec@ora10g> insert into t values (10001);
sec@ora10g> insert into t values (10002);
sec@ora10g> commit;
sec@ora10g> select * from t;

         X
----------
         1
         2
     10001
     10002

2.问题场景描述
禁止查询T表中X列值大于10000的数据。

3.实现方法一:使用视图
这种方法可能是大家都很容易想到的,实现起来相对简单。但无法真正做到禁止访问基础表。
sec@ora10g> create view v_t as select * from t where x <=10000;

View created.

sec@ora10g> select * from v_t;

         X
----------
         1
         2

此时如果直接查询基础表t,仍然可以获得说有的数据。
sec@ora10g> select * from t;

         X
----------
         1
         2
     10001
     10002

4.实现方法二:使用VPD
1)创建VPD需要的函数,这里给出的名字是f_limited_query_t。
CREATE OR REPLACE FUNCTION f_limited_query_t (s_schema IN VARCHAR2,
                                              s_object IN VARCHAR2)
   RETURN VARCHAR2
AS
BEGIN
   RETURN 'X <= 10000';
END;
/

Function created.

2)将函数与需要保护的表进行关联
BEGIN
   DBMS_RLS.add_policy (object_schema   => 'SEC',
                        object_name     => 'T',
                        policy_name     => 'POLICY_LIMITED_QUERY_T',
                        function_schema => 'SEC',
                        policy_function => 'F_LIMITED_QUERY_T');
END;
/

PL/SQL procedure successfully completed.

3)验证VPD效果
此时在sec用户下直接查询t表,获得的也仅仅是我们要求的数据范围
sec@ora10g> select * from t;

         X
----------
         1
         2

即便是连接到其他用户依然无法获得sec用户下t表隐藏掉的数据。
sec@ora10g> conn secooler/secooler
Connected.
secooler@ora10g> select * from sec.t;

         X
----------
         1
         2

只有sys用户有权查看到sec用户下t表的全部数据
sec@ora10g> conn / as sysdba
Connected.
sys@ora10g> select * from sec.t;

         X
----------
         1
         2
     10001
     10002

4)去掉VPD对数据访问的限制
我们可以使用DBMS_RLS.drop_policy来完成这个任务。
secooler@ora10g> conn sec/sec
Connected.

BEGIN
   DBMS_RLS.drop_policy (object_schema   => 'SEC',
                         object_name     => 'T',
                         policy_name     => 'POLICY_LIMITED_QUERY_T');
END;
/

PL/SQL procedure successfully completed.

此时可获得T表的全部数据
sec@ora10g> select * from t;

         X
----------
         1
         2
     10001
     10002

5.小结
这里给出的是VPD最简单的一种使用方法,在实际应用中需求可能会比较复杂,但通过分析并仔细定制,VPD都可以胜任。
欢迎大家分享关于VPD技术的具体应用案例。
yangfanchao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oracle行列级权限控制(VPD
m0_51192710的博客
06-06 1459
限制访问PDM用户下的表TEST_VPD,政策名称为LIMITED_QUERY_LINE,政策函数为PDM用户下的F_LIMITED_QUERY_LINE,政策类型为SELECT类型,启用该FGAC规则END;SEC_RELEVANT_COLS 要屏蔽的列(用逗号隔开)SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS说明对所有记录屏蔽该列END;
oracle数据库权限
Y_Mojito_的博客
07-20 8272
数据库权限
使用Oracle VPD(Virtual Private Database)限制用户获取数据的范围
weixin_33896069的博客
03-01 181
VPD全称Virtual Private Database,这个技术提供了对数据库信息的细粒度访问控制。关于VPD的更多描述性信息可通过Oracle官方文档获得:http://download.oracle.com/docs/cd/B19306_01/network.102/b14266/apdvpoli.htm#i1009600通过一个具体案例,体验一下VPD带给我们的功能特点。1.初始化环境构...
oracle 字典_Oracle权限授权管理
weixin_39868034的博客
12-04 401
Oracle权限授权管理Oracle权限主要有系统权限和对象权限两种。系统权限主要是连接权限(session)、user权限等,系统权限主要是对数据库具有系统级的操作。对象权限,指的是对数据库对象具有特定操作的权限Oracle授予权限的对象可以是用户,也可以是角色。授予权限的操作包括授予系统权限或对象权限给用户(或角色)。我们在进行授予权限时候,要注意,系统权限的授予必须具有DBA权限的用户进...
OracleVPD介绍
weixin_33998125的博客
05-29 296
1、什么是VPD?虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行级访问控制。对于互联网访问,虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一Oracle 数据库中维护多个公司的数据,但只允许每个公司查看其自身数据。在企业内部,虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性,而不用在访问数据的每个应用...
基于Oracle VPD技术实现系统可配置数据屏蔽.pdf
10-09
Oracle VPD(Virtual Private Database)技术是Oracle数据库提供的一种安全机制,它允许数据库根据用户的上下文信息动态地修改SQL查询,实现数据的行级访问控制。这种技术的主要目的是确保敏感数据的安全,同时简化...
Oracle数据库用VPD来确保信息的隐私
03-03
Oracle数据库的虚拟私有数据库(Virtual Private Database, VPD)是一种强大的行级安全特性,它在Oracle8i中被引入,旨在提供更为精细化的访问控制。VPD允许根据用户的身份和角色来限制对数据行的访问,从而实现高度...
ORACLE 精细访问控制的实现
08-17
总之,Oracle的精细访问控制是通过VPD和RMAN等机制,实现对数据访问的精细控制,满足复杂的安全需求。它要求数据库管理员具备深厚的PL/SQL编程和数据库设计知识,以便有效地定义和实施安全策略。正确配置和使用这些...
ORACLE中一个基于角色访问控制的VPD设计方案.pdf
10-10
VPDOracle数据库提供的一种高级安全特性,用于实现数据的行级安全。VPD允许数据库根据用户的上下文信息动态过滤查询结果,即在用户尝试访问数据时,VPD会附加额外的访问条件,从而实现数据的隔离。这些附加条件...
Oracle虚拟专用数据库的实现及应用.pdf
10-09
5. **安全增强**:VPD 结合了Oracle的其他安全特性,如行级安全性(RLS)和细粒度访问控制(FGAC),提供了更强大的安全层,防止非法访问和数据泄露。 在医院信息管理系统中,VPD 可以确保医生、护士、行政人员等...
关于采用Oralce行级安全策略解决应用系统数据权限的论述
02-26
我们在开发应用系统时,经常遇到这样的问题:用户只被允许访问某张表的一部分数据,而且无论使用哪个界面,都只能访问这一部分数据。比如,用户A只能访问装货港是上海的委托。通常我们会在SQL语句中加入条件来过滤数据。但是,这种做法最大的缺点是可修改性差。由于过滤条件固化在代码中,如果用户的访问规则变了,就必须修改源代码;又因为系统中会存在多处代码访问同一张表,程序员必须逐一修改,既费时费力,又容易出错。 解决上述问题的办法可能有很多。比如,在SQL中嵌入宏变量,再为每一个宏变量配置相应的过滤条件等。这些方法虽然一定程度上消除了上述问题,但是往往也增加了系统的复杂性。本文旨在利用Oracle已有的行级安全策略,为有类似问题的项目组提供一种全新的解决方案
vpd列级权限控制举例
07-15
oracle数据安全介绍与简明使用之:vpd列级权限控制举例
[精]Oracle VPD详解(虚拟专用数据库)
热门推荐
苏南生的CSDN博客
09-19 1万+
所谓虚拟专用数据库(VPD)指的是,通过在数据库里进行配置,从而让不同的用户只能查看某 个表里的部分数据。VPD分为以下两个级别。 行级别:在该级别下,可以控制某些用户只能查看到某些数据行。比如,对于销售数据表sales 来说,每个销售人员只能检索出他自己的销售数据,不能查询其他销售人员的销售数据。 列级别:在该级别下,可以控制某些用户不能检索某个表的某个列的值。比如用户HR 下的 employe
Oracle虚拟私有数据库(VPD)概述及简单举例
cuidan1640的博客
06-25 446
Oracle虚拟私有数据库(VPD)概述及简单举例[@more@]Oracle虚拟私有数据库(VPD)概述及简单举例1、Oracle虚拟私有数据库(VPD)概述VPD提供了比角色和视图更好的行级访问控制。例如在internet访...
Oracle-VPD
belief1117的专栏
07-17 141
  Oracle权限控制 采用oracle的dbms_rls包实现数据访问控制 在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)。  但在某些系统中,权限控制又必须定义到数据行访问权限的控制,此需求一般出现在同一系统,不同的相对独立机构使用的情况。(如:集团下属多个子公司,所有子公司使用...
oracle vpd策略,oracle vpd 策略查询
weixin_34771903的博客
04-10 938
Oracle VPD策略示例 - abce - 博客园2015年12月14日Oracle VPD策略示例 1.未创建前使用oe用户登录查询: + View Code + View Code 2.创建VPD策略 以sys用户用sysdba权限登录pdb2 2.1.创建策略函数 + View...oracle vpd 策略查询_文档之家这与Oracle VPD实现相反,Oracle VPD 的实...
[Oracle] 数据库安全之 - 虚拟私有数据库 (VPD
Zhu_Julian's Notes (朱显杰的技术博客)
06-09 4214
Oracle的安全分为四大部分,分别是用户管理、访问控制、数据保护和监控,具体可参考《[Oracle] 数据库安全概述》http://blog.csdn.net/u010415792/article/details/9008089 今天着重讲讲访问控制中一种常见的技术VPDVPD的全称是Virtual Private Database 虚拟私有数据库,它在Oracle 8i时就出现了,是Ora
Oracle VPD
chncaesar的专栏
01-20 5754
VPD = Virtual Private Database。同义词有RLS : Row Level Security, FGAC: Fine Grained Access Control。 用于行级访问控制。假设有需求,只有用户'SCOTT'能访问emp表所有记录,其他人只能访问manager以下员工的记录。 CREATE FUNCTION emp_policy(schema_in IN
oracleVPD介绍
lifeneedyou的专栏
08-01 587
1什么是VPD? 虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行级访问控制。对于互联网访问,虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一 Oracle 数据库中维护多个公司的数据,但只允许每个公司查看其自身数据。 在企业内部,虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性,而不用在访问数据的每个应用程序中分别实...
mysql实现vpd_VPD(Virtual Private Database) 简单演示
最新发布
05-27
VPD(Virtual Private Database)是一种安全机制,可以在数据库层面对用户进行细粒度的数据访问控制。MySQL 5.5及以上版本引入了一个名为“database-level security”的概念,允许用户在数据库层面定义安全策略。以下是一个简单的演示: 1. 创建一个测试表格 ```sql CREATE TABLE test_table (id INT, name VARCHAR(20)); INSERT INTO test_table VALUES (1, 'Alice'), (2, 'Bob'), (3, 'Charlie'); ``` 2. 创建一个包含安全策略的函数 ```sql DELIMITER // CREATE FUNCTION test_security_policy (schema_name VARCHAR(64), table_name VARCHAR(64)) RETURNS VARCHAR(1024) DETERMINISTIC BEGIN DECLARE security_filter VARCHAR(1024); SET security_filter = CONCAT('id <= 2'); RETURN security_filter; END; // DELIMITER ; ``` 此函数将返回一个字符串,其中包含用于限制用户对表格的访问的 SQL 语句。 3. 启用安全策略 ```sql GRANT SELECT ON test_table TO test_user@localhost; SET GLOBAL mysql.security_record_policy = 'test_security_policy'; ``` 此命令将允许 test_user 用户访问 test_table 表格,并启用上一步创建的安全策略函数。 4. 测试 ```sql SELECT * FROM test_table; -- 只返回id=1和id=2的行 ``` 注意,由于安全策略将限制返回的行数,因此仅返回 id=1 和 id=2 的行。 以上就是 MySQL 实现 VPD 的简单演示。实际上,安全策略函数可以更复杂,可以根据当前用户的角色、访问时间、IP 地址等信息来限制访问。同时,MySQL 还提供了许多安全机制,如 SSL/TLS 加密、访问控制、身份验证等,可以在数据库层面确保数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值