Oracle Policy的简单说明:

Policy应用于数据行访问权限控制时,其作用简而言之,就是在查询数据表时,自动在查询结果上加上一个Where子句。假如该查询已有where子句,则在该Where子句后面加上"And ..."。

由Oracle Policy自动加入的Where子句的内容,通常由一个函数来实现。而进行数据行访问权限控制算法实现的结果,也是通过该函数返回。

Oracle Policy语法说明:

创建策略:

begin

-- Call the procedure

dbms_rls.add_policy(object_schema => :数据表(或视图)所在的Schema名称/用户,

object_name => :数据表(或视图)的名称,

policy_name => :policy的名称

function_schema => :返回Where子句的函数所在Schema名称/用户,

policy_function => :返回Where子句的函数名称,

statement_types => :要使用该Policy的DML类型,如'Select,Insert,Update,Delete',

update_check => 仅适用于Statement_Type为'Insert,Update',值为'True'或'False',

enable => 是否启用,值为'True'或'False',

static_policy => 默认值为FALSE。如果它被设置为TRUE则所有用户启用该策略,sys或特权用户例外。

policy_type => :默认值是null,意味着static_policy的值决定,在这里指定任何策略将覆盖static_policy的值。

long_predicate => long_predicate,

sec_relevant_cols => :敏感的字段名称,

sec_relevant_cols_opt => :设置为dbms_rls.ALL_ROWS来显示所有的行,敏感的列的值为null);

end;

删除策略:

begin

dbms_rls.drop_policy(

object_schema=>'要删除的Policy所在的Schema',

object_name=>'要删除Policy的数据表(或视图)名称',

policy_name=>'要删除的Policy名称'

);

end;

改变policy状态:

begin

dbms_rls.enable_policy(

object_schema=>'要改变的Policy所在的Schema',

object_name=>'要改变Policy的数据表(或视图)名称',

policy_name=>'要删除的Policy名称',

enable=>'默认True,是否启用,True为启用策略,False为禁用策略'

);

end;

需要注意,在普通用户下是没有dbms_rls的权限,在使用之前需要对其授权

grant execute,debug on dbms_rls to scott;

具体实现:

在创建策略时需要创建策略使用到的函数:

create or replace function FN(p_schema in varchar2 default NULL,

p_object in varchar2 default NULL)

return varchar2 as

begin

return 'deptno=10';

end;

创建一个策略,只能看到部门为10的数据:

begin

dbms_rls.add_policy(

object_schema=>'scott',

object_name=>'emp',

policy_name=>'emp',

function_schema=>'scott',

policy_function=>'FN',

statement_types=>'SELECT'

);

end;

执行结果:

EMPNO ENAME JOB MGR HIREDATE SAL COMM DEPTNO

7782 CLARK MANAGER 7839 1981/6/9 2450.00 10

7934 MILLER CLERK 7782 1982/1/23 1300.00 10

只显示部门为10的数据。

如果该用户可以看到自己部门信息,也可以看到其他部门的部分信息,一些敏感字段则不能看到,比如工资。根据上个策略,只增加两个条件即可,如下:

begin

dbms_rls.add_policy(

object_schema=>'scott',

object_name=>'emp',

policy_name=>'emp',

function_schema=>'scott',

policy_function=>'FN',

statement_types=>'SELECT',

sec_relevant_cols=>'sal',

sec_relevant_cols_opt=>dbms_rls.ALL_ROWS

);

end;

执行结果:

EMPNO ENAME JOB MGR HIREDATE SAL COMM DEPTNO

7369 SMITH CLERK 7902 1980/12/17 20

7499 ALLEN SALESMAN 7698 1981/2/20 300.00 30

7521 WARD SALESMAN 7698 1981/2/22 500.00 30

7566 JONES MANAGER 7839 1981/4/2 20

7654 MARTIN SALESMAN 7698 1981/9/28 1400.00 30

7698 BLAKE MANAGER 7839 1981/5/1 30

7782 CLARK MANAGER 7839 1981/6/9 2450 10

7788 SCOTT ANALYST 7566 1987/4/19 20

7844 TURNER SALESMAN 7698 1981/9/8 0.00 30

7876 ADAMS CLERK 7788 1987/5/23 20

7900 JAMES CLERK 7698 1981/12/3 30

7902 FORD ANALYST 7566 1981/12/3 20

7934 MILLER CLERK 7782 1982/1/23 1300 10

所有记录全部显示,只是配置了敏感字段的sal,不是部门为10的数据则显示为空。

改变策略状态:

begin

dbms_rls.enable_policy(

object_schema=>'scott',

object_name=>'emp',

policy_name=>'emp',

enable=>true

);

end;

删除策略:

begin

dbms_rls.drop_policy(

object_schema=>'scott',

object_name=>'emp',

policy_name=>'emp'

);

end;

这样就可以实现数据的查询权限控制了。

Oracle对于敏感数据的处理,可以采用策略(dbms_rls.add_policy)的更多相关文章

  1. SYS_R12 MOAC多组织底层技术实现技术分析(Oracle VPD) (案例)

    2014-05-30 Created By BaoXinjian

  2. Oracle策略相关

    Oracle策略可以限制查询.修改.删除.新增等操作,刚接触,对查询做一个测试: 参照 http://blog.csdn.net/diyyong/article/details/19552637 用法 ...

  3. Oracle VPD策略示例

    1.未创建前使用oe用户登录查询: SQL> select * from orders; ORDER_ID ORDER_DATE ORDER_MO CUSTOMER_ID ORDER_STATU ...

  4. Oracle设计规范!

    Oracle设计规范! 一哥们整理的Oracle的设计规范,相当的不错,贴这以备后续之需! 目录 1.数据库模型设计方法规范 1.1.数据建模原则性规范 1.2.实体型之间关系认定规范 1.3.范式化 ...

  5. Hibernate的实体规则、主键生成策略、对象状态

    一. hibernate的实体类有一定的规则,类似于mybatis的逆向工程导出的实体类.具体的规则以及原因如下: 1.持久化类需要提供无参的构造方法. 因为hibernate底层采用反射机制创建对象 ...

  6. Oracle 备份与恢复 15 个典型问题

    1.问:Oracle11g数据库数据量有50T,每天增量50g左右,该如何制定备份方案,如何验证备份的有效性? 答:50T的数据也不大,运营商的地市级市数据基本都在100T以上了,只要备份环境允许的话 ...

  7. Oracle数据库备份、灾备的23个常见问题

    为了最大限度保障数据的安全性,同时能在不可预计灾难的情况下保证数据的快速恢复,需要根据数据的类型和重要程度制定相应的备份和恢复方案.在这个过程中,DBA的职责就是要保证数据库(其它数据由其它岗位负责) ...

  8. 【转】京东金融App端链路服务端全链路压测策略

    京东金融移动端全链路压测历时三个月,测试和服务端同学经过无数日日夜夜,通宵达旦,终于完成了移动端链路的测试任务.整个测试有部分涉及到公司敏感数据,本文只对策略部分进行论述. 1.系统架构与策略 在聊性 ...

  9. 【Oracle 集群】ORACLE DATABASE 11G RAC 知识图文详细教程之集群概念介绍(一)

    集群概念介绍(一)) 白宁超 2015年7月16日 概述:写下本文档的初衷和动力,来源于上篇的<oracle基本操作手册>.oracle基本操作手册是作者研一假期对oracle基础知识学习 ...

随机推荐

  1. C#反射实现 C# 反射 判断类的延伸类型 使用代码生成工具Database2Sharp快速生成工作流模块控制器和视图代码 C# ADO.NET的SqlDataReader对象,判断是否包含指定字段 页面中添加锚点的几种方式 .net 简单实用Log4net(多个日志配置文件) C# 常用小点

    C#反射实现   一.反射概念: 1.概念: 反射,通俗的讲就是我们在只知道一个对象的内部而不了解内部结构的情况下,通过反射这个技术可以使我们明确这个对象的内部实现. 在.NET中,反射是重要的机制, ...

  2. 1、金融之关于BIAS

    一.☆BIAS(1)什么是BIAS☆ BIAS[指标介绍]      BIAS乖离率也称为Y值,是用股价指数与移动平均线的比值关系,来描述股票价格与移动平均线之间的偏离程度.乖离率功能主要是通过测算股 ...

  3. C#指定长度截取字符串 并进行拼接。

    需求:有一个字符串需要按照指定长度拆分出来,然后在增加一个字符串拼接上. /// <summary> /// 字符串截取并拼接 /// </summary> /// <p ...

  4. SQL Server 2016新特性:Temporal Table

    什么是系统版本的Temporal Table 系统版本的Temporal Table是可以保存历史修改数据并且可以简单的指定时间分析的用户表. 这个Temporal Table就是系统版本的Tempo ...

  5. 关于 GET、POST、表单、Content-Type

    关于 GET.POST.表单.Content-Type headers HTTP 的请求头,在这里也可以放参数,不论 GET 请求或 POST 请求都可以. GET 请求 GET 请求的参数都在 UR ...

  6. [Java]判断Integer值相等最好不用==最好使用equals

    测试代码 Integer c = ; Integer d = ; Integer e = ; Integer f = ; System.out.println(c == d); System.out. ...

  7. 【转】WPF自定义控件与样式(13)-自定义窗体Window & 自适应内容大小消息框MessageBox

    一.前言 申明:WPF自定义控件与样式是一个系列文章,前后是有些关联的,但大多是按照由简到繁的顺序逐步发布的等. 本文主要内容: 自定义Window窗体样式: 基于自定义窗体实现自定义MessageB ...

  8. 一款可视化的在线制作H5

    一款可视化的在线制作H5 官方网站: http://www.iii66.cn 制作H5网址: http://www.iii66.cn/love/page/index 包括对图片,文字,图形,视频,声音 ...

  9. python3 使用ldap3来作为django认证后台

    首先先使用ldap3测试ldap服务是否正常 我们先要拿到dc的数据,以及连接ldap的密码,还有搜索的字段(search_filter), 一般来说search_filter 这个是从负责ldap运 ...

  10. 机器人学 —— 机器人感知(Location)

    终于完成了Robotic SLAM 所有的内容了.说实话,课程的内容比较一般,但是作业还是挺有挑战性的.最后一章的内容是 Location. Location 是 Mapping 的逆过程.在给定ma ...