VPD(Virtual Private Database) 简单演示
VPD :Virtual Private Database , 是一种限制对数据库信息细粒度的访问控制技术。实现的关键在于:RLS(Row Level Security) 行级权限控制,通过 ORACLE 的 存储过程:dbms_rls.add_policy 实现.
实现原理:
查询时在 WHERE 语句后 加上 'AND ...', 该功能由策略函数实现。
下面用PL/SQL 简单举例演示。
-- 创建测试表 CREATE TABLE T(organization_id NUMBER,organization_code VARCHAR2(3), organization_name VARCHAR2(150));
-- 插入测试数据 INSERT INTO T VALUES (101,'AAA','name1'); INSERT INTO T VALUES (102,'BBB','name2'); INSERT INTO T VALUES (103,'CCC','name3'); INSERT INTO T VALUES (104,'DDD','name4');
-- 查询所有数据 SELECT * FROM T;
实现如下访问控制:
拒绝访问 organization_id = 101 的行.
-- step 1: 创建查询策略函数 CREATE OR REPLACE FUNCTION f_limited_query_t (s_schema IN VARCHAR2, s_object IN VARCHAR2) RETURN VARCHAR2 AS BEGIN RETURN 'organization_id not in(101)'; END;
-- PS:该函数必须有两个 VARCHAR2 参数,不能去掉,否则报错:ORA-28112: failed to execute policy function
-- step 2: 为对象添加查询策略 BEGIN DBMS_RLS.add_policy (object_schema => 'APPS', object_name => 'T', policy_name => 'POLICY_LIMITED_QUERY_T', function_schema => 'APPS', policy_function => 'F_LIMITED_QUERY_T'); -- 可以使 package.function END;
-- step 3: 测试 SELECT * FROM T;
-- 结果:不能访问到 organization_id = 101 的行. 说明访问策略生效
-- step 4:解除访问控制 BEGIN DBMS_RLS.drop_policy (object_schema => 'APPS', object_name => 'T', policy_name => 'POLICY_LIMITED_QUERY_T'); END;
-------------------我是分割线--------------------------
add_policy 部分字段解释:
dbms_rls.add_policy(object_schema -- object schema ,object_name -- object name ,policy_name -- policy 名, 自己命名 ,function_schema -- function schema ,policy_function -- 策略函数 ,statement_types -- 要使用该 policy 的 DML 类型,如'select,insert,update,delete' ,update_check -- 仅适用于statement_type为'insert,update',值为'true'或'false' ,enable -- 是否启用,值为'true'或'false' );
-- 设置 policy dbms_rls.enable_policy(object_schema -- object schema ,object_name -- object name ,policy_name -- 要删除的policy名称 ,enable -- 是否启用,值为'true'或'false' );
-- 通过 VPD 进行 OU 屏蔽 BEGIN dbms_rls.add_policy(object_name => 'CIB_TABLE', policy_name => 'ORG_SEC', policy_function => 'MO_GLOBAL.ORG_SECURITY', policy_type => dbms_rls.shared_context_sensitive); END;
-- 查看系统中的 policy SELECT * FROM user_policies
使用案例:
为不带ALL的APPS下的同义词添加策略函数: BEGIN dbms_rls.drop_policy(object_schema => 'APPS', object_name => 'CUX_CM_COMMISSION_DTLS', policy_name => 'ORG_SEC'); END; BEGIN dbms_rls.add_policy(object_name => 'CUX_CM_COMMISSION_DTLS', policy_name => 'ORG_SEC', policy_function => 'MO_GLOBAL.ORG_SECURITY'); END;