首页 / 数据库 / MySQL / 使用Oracle VPD（Virtual Private Database）实现数据库层面数据权限

在应用系统开发领域，功能权限和数据权限两层权限体系占到了安全功能性需求的大半。除了在应用程序层面进行处理之外，我们其实还可以从数据库层面实现数据权限访问的。Oracle VPD（Virtual Private Database）就是从数据库层面实现数据访问控制的一种成熟技术。借助VPD，一些已经上线或者不容易进行二次开发的功能可以比较容易的解决。
 
1、VPD简述从产品属性来看，Oracle Virtual Private Database（简称VPD）是归属在Oracle安全security框架下的成熟产品。要注意：VPD是企业版Enterprise版本功能，在其他如标准Standard版下是不能使用的。
 
简单的说，VPD就是介于用户SQL语句和实际执行对象之间的介质层。用户或者应用程序发出的SQL语句在传入到DBMS执行之前，会自动被拦截并且进行额外处理。处理的结果往往反映为在语句where条件中添加特殊的条件式。
 
例如：数据表T中包括了所有供应商的信息，设计者系统任何SQL语句发送之后，都只能查看到location=’北京’的记录。在没有VPD的情况下，我们必须修改应用程序代码，将location=’北京’加入到所有对应数据表操作SQL语句中。
 
借助VPD，应用程序不需要修改任何代码。我们只需要在数据库层面设定一个指定策略规则，如果针对某个数据对象表的所有SQL语句，都会调用一个设定的函数。函数自身会返回一个字符串条件，作为补充的where语句条件。
 
例如：如果我们设定对数据表t的每个Select语句都要添加一个条件object_id<100，那么即使应用层发出了select * from t，那么实际执行的也都是select * from t where object_id<100。
 
下面我们通过一系列的实验来进行验证演示。 2、环境介绍和配置 我们选择Oracle 11g企业版进行测试。 SQL> select * from v$version; BANNER-----------------------------------------------Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - ProductionPL/SQL Release 11.2.0.4.0 - ProductionCORE 11.2.0.4.0 Production 注意：只有在其中明确标注Enterprise Edition才认为是企业版Oracle。否则是标准版。创建专门用户用于实验。 SQL> create user vpd identified by vpd;User created SQL> grant resource, connect to vpd;Grant succeeded SQL> grant execute on dbms_rls to vpd;Grant succeeded SQL> grant select any dictionary to vpd;Grant succeeded 在vpd schema下创建数据表T。 SQL> conn vpd/vpd@ora11g;Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0Connected as vpd SQL> create table t as select * from dba_objects;Table created SQL> select count（*） from t;   COUNT（*）----------    86032 目标是使用VPD实现数据隐藏：只有VPD用户查询数据表T才能获取全文，其他schema读取不到其中数据。3、配置VPD配置VPD第一步是定义处理函数，我们需要函数的意义是返回一个字符串条件列。在函数中，我们可以根据不同的情况插入自由的逻辑。针对这个需求，首先需要获取到查询用户的schema名称才能判断。于是，函数为：SQL> create or replace function f_limit_access  2  （  3    vc_schema varchar2,  4    vc_object varchar2  5  ） return varchar2  6  as  7  vc_userid varchar2（100）;  8  begin  9    select SYS_CONTEXT（"USERENV","SESSION_USER"） 10    into vc_userid 11    from dual; 12  13    if （trim（vc_userid）="VPD"） then 14      return "1=1"; 15    else 16      return "1=0"; 17    end if; 18  19  end; 20  / Function createdsys_context函数可以获取到当前用户名信息，做出判断。输入参数vc_schema和vc_object是作为调用点，可以逆向插入回去的。 更多详情见请继续阅读下一页的精彩内容： http://www.linuxidc.com/Linux/2014-05/101151p2.htm

1 2 下一页

Oracle 修改dbid和dbnameOracle监听器启动故障TNS-00517解决相关资讯      Oracle VPD  本文评论 查看全部评论 （0）

表情： 姓名： 匿名字数 <div id="footbar"> 版权所有©石家庄振强科技有限公司2024 <a href="https://beian.miit.gov.cn" target="_blank">冀ICP备08103738号-5</a> <a href="/storage/sitemap.xml">网站地图</a> </div> </div> <script type="text/javascript" src="//cpro.baidustatic.com/cpro/ui/cm.js"></script> <script> var _mtj = _mtj || []; (function () { var mtj = document.createElement("script"); mtj.src = "https://node12.aizhantj.com:21233/tjjs/?k=p2tceukth5c"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(mtj, s); })(); </script> </body> </html>