采用oracle的dbms_rls包实现数据访问控制

在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)
  但在某些系统中,权限控制又必须定义到数据行访问权限的控制,此需求一般出现在同一系统,不同的相对独立机构使用的情况。(如:集团下属多个子公司,所有子公司使用同一套数据表,但不同子公司的数据相对隔离), 绝大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改。
  本文探讨的使用Oracle提供的Policy管理方法来实现数据行的隔离
注意:这里的policy是在9i上测试,8ipolicy是不同9i,但是原理是一样的.

 

(1)建立测试数据表(t_policy):

CREATE TABLE T_POLICY
(
  T1  VARCHAR2(10 BYTE),
  T2  NUMBER(10)
);

insert into t_policy values('a',10);
insert into t_policy values('b',20);
insert into t_policy values('c',30);
commit;

 

(2)建立测试policy的函数:

CREATE OR REPLACE function Fn_GetPolicy(P_Schema In Varchar2,P_Object In Varchar2) return varchar2 is
  Result varchar2(1000);
begin
  Result:='t2 not in (10)';
  return(Result);
end Fn_GetPolicy;
/


(3)加入policy:

declare
Begin
Dbms_Rls.Add_Policy(
Object_Schema =>'niegc',  --
数据表(或视图)所在的Schema名称
Object_Name =>'T_Policy', --
数据表(或视图)的名称
Policy_Name =>'T_TestPolicy', --POLICY
的名称,主要用于将来对Policy的管理
Function_Schema =>'NIEGC',  --
返回Where子句的函数所在Schema名称
Policy_Function =>'Fn_GetPolicy', --
返回Where子句的函数名称
Statement_Types =>'Select,Insert,Update,Delete', --
要使用该PolicyDML类型,如'Select,Insert,Update,Delete'
Update_Check =>True, --
仅适用于Statement_Type'Insert,Update',值为'True''False'
Enable =>True    --
是否启用,值为'True''False'
);
end;


注:如果Update_Check设为'True',则用户插入的值不符合Policy_Function返回条件时,该DML执行返回错误信息。

现在就可以工作了:
select * from t_policy;
看看结果怎样, 是不是少了t2=10这项了.

 

 

(4)删除policy

declare
begin
 dbms_rls.drop_policy('niegc','T_POLICY','T_TESTPOLICY');
end;

 

 

(5)设置policy的状态
declare
begin
 dbms_rls.enable_policy('niegc','t_policy','t_testpolicy',false);
end;

 

 

(6)查看policy可以通过user_policies这个表看到.

 

 

你可能感兴趣的:(oracle,工作)