八、dbms_rls(实现精细访问控制)
1、概述
本报只适用于Oracle Enterprise Edition,它用于实现精细访问控制,并且精细访问控制是通过在SQL语句中动态增加谓词(WHERE子句)来实现的.
通过使用ORACLE的精细访问控制特征,可以使不同数据库用户在执行相同SQL语句时操作同一张表上的不同数据.
例如多个用户执行select * from emp时,各自看到的行数不同。A只能看到财务部的记录,B只能看到市场部的数据。
2、包的组成
1)、add_policy
作用:用于为表、视图或同义词增加一个安全策略,当执行该操作结束是会自动提交事务。
语法dbms_rls.add_policy(
object_aschema in varchar2 null,
object_name in varchar2,
policy_name in varchr2,
function_schema in varchar2 null,
policy_function in varchar2,
statement_type in varchar2 null,
update_check in boolean false,
enable in boolean true,
static_policy in boolean false);
其中
- object_aschema:指定包含表、视图或同义词的方案(默认null表示当前方案),
- object_name:指定要增加安全策略的表、视图或同义词,
- policy_name:指定要增加的安全策略名称,
- function_schema:指定策略函数的所在方案(默认null表示当前方案),
- policy_function:指定生成安全策略谓词的函数名,
- statement_type:指定使用安全策略的sql语句(默认null表示适用于select、insert、update、delete),
- update_check:指定执行insert、update时是否检查安全策略,
- enable:指定是否要激活安全策略,
- static_policy:指定是否要生成静态的安全策略。
2)、drop_policy
作用:用于删除定义在特定表、视图或同义词的安全策略,当试行该操作结束时会自动提交事务。
语法:dbms_rls.drop_policy(
object_achema in varchr2 null,
object_name in varchar2,
policy_name in varchar2);
3)、refresh_policy
作用:用于刷新与安全策略修改相关的所有sql语句,并使得Oracle重新解析相关sql语句,自动提交。
语法:dbms_rls.refresh_policy(
object_achema in varchr2 null,
object_name in varchar2 null,
policy_name in varchar2 null);
4)、enable_policy
说明:用于激活或禁止特定的安全策略,默认情况下当增加安全策略时会自动激活,自动提交。
语法:dbms_rls.enable_policy(
object_achema in varchr2 null,
object_name in varchar2,
policy_name in varchar2,
enable in boolean);
5)、create_policy_group
作用:用于建立安全策略组
语法:dbms_rls.create_policy_group(object_schema varchar2, object_name varchar2,policy_group varchar2);
其中policy_group指定策略组的名称。
6)、add_grouped_policy
作用:用于增加与特定策略组相关的安全策略。
语法:dbms_rls.add_grouped_policy(object_schema varchar2, object_name varchar2,policy_group varchar2,policy_name varchar2,
function_schema
varchar2,policy_function varchar2,statement_types varchar2,update_check
boolean,enabled boolean,static_policy boolean false);
7)、add_policy_context
作用:用于为应用增加上下文
语法:dbms_rls.add_policy_context(object_schema varchar2,object_name varchar2,namespace varchar2,attribute varchar2);
其中namespace指定命名空间,attribute指定上下文属性。
8)、delete_policy_group
作用:用于删除安全策略组
语法:dbms_rls.delete_policy_group(object_schema varchar2,object_name varchar2,policy_group varchar2);
9)、drop_grouped_policy
作用:用于删除特定策略组的安全策略。
语法:dbms_rls.drop_grouped_policy(object_schema varchar2,object_name varchar2,policy_group varchar2,policy_name varchar2);
10)、drop_policy_context
作用:用于删除对象的上下文。
语法:dbms_rls.drop_policy_context(object_schema varchar2,object_name varchar2,namespace varchar2,attribute varchar2);
11)、enable_grouped_policy
作用:用于激活或禁止特定策略组的安全策略
语法:dbms_rls.enable_grouped_policy(object_schema
varchar2,object_name varchar2,group_name varchar2,policy_name
varchar2,enable boolean);
12)、refresh_grouped_policy
作用:用于刷新与特定安全策略组的安全策略相关的sql语句(重新解析sql语句)
语法:dbms_rls.refresh_grouped_policy(object_schema varchar2,object_name varchar2,group_name varchar2,policy_name varchar2);
3、使用dbms_rls实现精细访问控制
假设希望sys、system、scott用户可以访问emp表的所有员工,blake用于智能访问部门30的员工,jones用户只能访问部门20的员工,其他用户只能访问部门10的员工。
步骤如下
1)、建立应用上下文
说明:要求用户必须具有create any context系统权限。
create or replace context empenv using scott.ctx;--建立名称为empenv的应用上下文,其属性有scott方案的包ctx包设置。
2)、建立包过程设置应用上下文属性
create or replace package scott.ctx as
procedure set_deptno;
end;
create or replace package body scott.ctx as
procedure set_deptno is
id number;
begin
if sys_context('userenv','session_user')='JONES' then
dbms_session.set_context('empenv','deptno',20);
elsif sys_context('userenv','session_user')='BLAKE' then
dbms_session.set_context('empenv','deptno',30);
else
dbms_session.set_context('empenv','deptno',10);
end if;
end;
end;
3)、建立登录触发器
说明:用户登录数据库之后会自动触发登陆触发器,建立登录触发器的目的是要隐含调用过程ctx.set_deptno,从而设置上下文属性。必须要以sys用户身份建立登陆触发器。
conn sys/oracle as sysdba
create or replace trigger login_trig
after logon on database call scott.ctx.set_deptno
4)、建立策略函数
策略函数必须带有2个参数,第一个参数对应于方案名,第二个参数对应于表名、视图名、同义词名。
create or replace package scott.emp_security as
function emp_sec(p1 varchar2,p2 varchar2) return varchar2;
end;
create or replace package body scott.emp_security ad
function emp_sec(p1 varchar2,p2 varchar2) return varchar2
is
d_predicate varchar2(2000);
begin
if user not in ('SYS','SYSTEM','SCOTT') then
d_predicate:='deptno=SYS_CONTEXT(''empenv'',''deptno'')'
return d_predicate;
end if;
return '1=1';
end;
end;
5)、增加策略
说明:增加策略,并定义对象、策略、策略函数以及SQL语句之间的对应关系。
execute dbms_rls.add_policy('scott','emp','emp_policy','scott','emp_security.emp_sec','select');
执行add_policy后会在系统默认策略组sys_default中增加策略emp_policy,并在scott.emp上的select语句使用该策略。
其中第一个参数是对象所在方案名,第二个参数是对象名,第三个参数是策略名,第四个参数策略函数所在的方案名,
第五个参数时策略函数,第六个参数是使用该策略的sql语句(如果不指定则select,insert,ypdate,delete都会使用该策略)
当SYS,SYSTEM,SCOTT登录查询,谓词为1=1,当JONES登陆谓词为deptno=20,当blake登陆谓词为deptno=30。
