• 设为首页
  • 收藏本站
  • 积分充值
  • VIP赞助
  • 手机版
  • 微博
  • 微信
    微信公众号 添加方式:
    1:搜索微信号(888888
    2:扫描左侧二维码
  • 登录 立即注册
    • 切换风格
    快捷导航
    福建二哥 门户 查看主题

    Oracle实现细粒度访问控制的步骤

    发布者: 福建二哥 | 发布时间: 2025-6-18 09:25| 查看数: 55| 评论数: 0|帖子模式

    细粒度访问控制(Fine-Grained Access Control, FGAC)是Oracle数据库中用于提供行级和列级安全控制的强大功能。通过FGAC,数据库管理员可以基于用户身份、会话属性或其他上下文信息,动态地控制对数据库数据的访问。

    实现细粒度访问控制的步骤


    • 创建策略函数
    • 创建并应用策略
    • 验证细粒度访问控制

    详细步骤和代码示例

    假设我们有一个示例表employees,包含以下列:employee_id, name, department_id, salary。

    1. 创建策略函数

    策略函数是一个PL/SQL函数,它返回一个WHERE子句,用于限制用户对数据的访问。在这个示例中,我们将基于用户的部门ID来限制用户只能看到其所在部门的员工记录。
    1. -- 连接到数据库
    2. sqlplus sys as sysdba

    4. -- 切换到HR模式
    5. ALTER SESSION SET CURRENT_SCHEMA = hr;

    7. -- 创建策略函数
    8. CREATE OR REPLACE FUNCTION emp_dept_policy (schema_name IN VARCHAR2, object_name IN VARCHAR2)
    9. RETURN VARCHAR2
    10. AS
    11.   v_predicate VARCHAR2(4000);
    12. BEGIN
    13.   -- 获取当前用户的部门ID
    14.   v_predicate := 'department_id = (SELECT department_id FROM users WHERE username = USER)';
    15.   RETURN v_predicate;
    16. END;
    17. /
    复制代码
    在这个示例中,策略函数
    1. emp_dept_policy
    复制代码
    返回一个WHERE子句,将用户只能看到其所在部门的员工记录。

    2. 创建并应用策略

    接下来,我们需要创建一个策略并将其应用到
    1. employees
    复制代码
    表上。
    1. -- 使用DBMS_RLS包创建并应用策略
    2. BEGIN
    3.   DBMS_RLS.ADD_POLICY (
    4.     object_schema => 'hr',
    5.     object_name   => 'employees',
    6.     policy_name   => 'emp_dept_policy',
    7.     function_schema => 'hr',
    8.     policy_function => 'emp_dept_policy',
    9.     statement_types => 'SELECT, INSERT, UPDATE, DELETE'
    10.   );
    11. END;
    12. /
    复制代码
    在这个示例中,我们使用DBMS_RLS.ADD_POLICY过程将策略函数emp_dept_policy应用到employees表上,以控制SELECT、INSERT、UPDATE和DELETE操作。

    3. 验证细粒度访问控制

    现在,我们可以验证细粒度访问控制是否生效。假设我们有两个用户:user1和user2,分别属于不同的部门。
    1. -- 创建示例用户并授予权限
    2. CREATE USER user1 IDENTIFIED BY password;
    3. CREATE USER user2 IDENTIFIED BY password;

    5. GRANT CONNECT TO user1;
    6. GRANT CONNECT TO user2;

    8. GRANT SELECT, INSERT, UPDATE, DELETE ON hr.employees TO user1;
    9. GRANT SELECT, INSERT, UPDATE, DELETE ON hr.employees TO user2;

    11. -- 插入一些示例数据
    12. INSERT INTO hr.employees (employee_id, name, department_id, salary) VALUES (1, 'Alice', 10, 50000);
    13. INSERT INTO hr.employees (employee_id, name, department_id, salary) VALUES (2, 'Bob', 20, 60000);
    14. INSERT INTO hr.employees (employee_id, name, department_id, salary) VALUES (3, 'Charlie', 10, 55000);

    16. INSERT INTO hr.users (username, department_id) VALUES ('USER1', 10);
    17. INSERT INTO hr.users (username, department_id) VALUES ('USER2', 20);

    19. COMMIT;

    21. -- 以user1身份连接数据库并查询employees表
    22. sqlplus user1/password@database
    23. SELECT * FROM hr.employees;

    25. -- 以user2身份连接数据库并查询employees表
    26. sqlplus user2/password@database
    27. SELECT * FROM hr.employees;
    复制代码
    1. user1
    复制代码
    查询
    1. employees
    复制代码
    表时,应该只能看到部门ID为10的员工记录。同样,当
    1. user2
    复制代码
    查询
    1. employees
    复制代码
    表时,应该只能看到部门ID为20的员工记录。

    示例脚本

    以下是一个完整的示例脚本,展示如何配置和使用细粒度访问控制。
    1. -- 连接到数据库sqlplus sys as sysdba-- 切换到HR模式ALTER SESSION SET CURRENT_SCHEMA = hr;-- 创建示例表和用户表CREATE TABLE hr.employees (  employee_id NUMBER PRIMARY KEY,  name VARCHAR2(100),  department_id NUMBER,  salary NUMBER);CREATE TABLE hr.users (  username VARCHAR2(30) PRIMARY KEY,  department_id NUMBER);-- 插入一些示例数据INSERT INTO hr.employees (employee_id, name, department_id, salary) VALUES (1, 'Alice', 10, 50000);INSERT INTO hr.employees (employee_id, name, department_id, salary) VALUES (2, 'Bob', 20, 60000);INSERT INTO hr.employees (employee_id, name, department_id, salary) VALUES (3, 'Charlie', 10, 55000);INSERT INTO hr.users (username, department_id) VALUES ('USER1', 10);INSERT INTO hr.users (username, department_id) VALUES ('USER2', 20);COMMIT;-- 创建策略函数CREATE OR REPLACE FUNCTION hr.emp_dept_policy (schema_name IN VARCHAR2, object_name IN VARCHAR2)RETURN VARCHAR2AS  v_predicate VARCHAR2(4000);BEGIN  -- 获取当前用户的部门ID  v_predicate := 'department_id = (SELECT department_id FROM hr.users WHERE username = USER)';  RETURN v_predicate;END;/-- 使用DBMS_RLS包创建并应用策略
    2. BEGIN
    3.   DBMS_RLS.ADD_POLICY (
    4.     object_schema => 'hr',
    5.     object_name   => 'employees',
    6.     policy_name   => 'emp_dept_policy',
    7.     function_schema => 'hr',
    8.     policy_function => 'emp_dept_policy',
    9.     statement_types => 'SELECT, INSERT, UPDATE, DELETE'
    10.   );
    11. END;
    12. /-- 创建用户并授予权限CREATE USER user1 IDENTIFIED BY password;CREATE USER user2 IDENTIFIED BY password;GRANT CONNECT TO user1;GRANT CONNECT TO user2;GRANT SELECT, INSERT, UPDATE, DELETE ON hr.employees TO user1;GRANT SELECT, INSERT, UPDATE, DELETE ON hr.employees TO user2;-- 以user1身份连接数据库并查询employees表sqlplus user1/password@databaseSELECT * FROM hr.employees;-- 以user2身份连接数据库并查询employees表sqlplus user2/password@databaseSELECT * FROM hr.employees;
    复制代码
    总结

    细粒度访问控制(Fine-Grained Access Control, FGAC)是Oracle数据库中用于提供行级和列级安全控制的强大功能。通过创建策略函数和策略,可以基于用户身份、会话属性或其他上下文信息,动态地控制对数据库数据的访问。上述步骤和代码示例展示了如何配置和使用细粒度访问控制,以满足具体的业务需求。
    以上就是Oracle实现细粒度访问控制的步骤的详细内容,更多关于Oracle细粒度访问控制的资料请关注脚本之家其它相关文章!

    来源:https://www.jb51.net/database/326948ung.htm
    免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

    最新评论

    新人须知

    常见问题

    维权申诉

    关注微博

    扫描微信

    关于合作

    通讯联系

    QQ Archiver 手机版 小黑屋 福建二哥 ( 闽ICP备2022004717号|闽公网安备35052402000345号 )

    Powered by Discuz! X3.5 © 2001-2023

    快速回复 返回顶部 返回列表