实现数据行的权限控制(Policy的应用)

1 前言

数据访问权限控制，是一个古老而又实际的问题。

在大部份系统中，权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如：某某人可以进入某个控制，仓库不充许查看有关金额的字段等等)。

但在某些系统中，权限控制又必须定义到数据行访问权限的控制，此需求一般出现在同一系统，不同的相对独立机构使用的情况。(如：集团下属多个子公司，所有子公司使用同一套数据表，但不同子公司的数据相对隔离)

当然，绝大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、系统适应用户治理体系的弹性空间较小，一旦权限逻辑发生变动，就可能需要修改权限体系，导致所有的View都必须修改。

本文探讨的使用Oracle提供的Policy治理方法来实现数据行的隔离。

非凡感谢Javac兄提出的此解决方案!

2 实现

2.1 Oracle Policy的简单说明

Policy应用于数据行访问权限控制时，其作用简而言之，就是在查询数据表时，自动在查询结果上加上一个Where子句。假如该查询已有where子句，则在该Where子句后面加上"And ..."。

由Oracle Policy自动加入的Where子句的内容，通常由一个函数来实现。而进行数据行访问权限控制算法实现的结果，也是通过该函数返回。

2.2 Oracle Policy的语法简述

2.2.1 新增Policy

Dbms_Rls.Add_Policy(Object_Schema --数据表(或视图)所在的Schema名称

,Object_Name --数据表(或视图)的名称

,Policy_Name --POLICY的名称，主要用于将来对Policy的治理

,Function_Schema --返回Where子句的函数所在Schema名称

,Policy_Function --返回Where子句的函数名称

,Statement_Types --要使用该Policy的DML类型，如'Select,Insert,Update,Delete'

,Update_Check --仅适用于Statement_Type为'Insert,Update'，值为'True'或'False'

,Enable --是否启用，值为'True'或'False'

);

注：假如Update_Check设为'True'，则用户插入的值不符合Policy_Function返回条件时，该DML执行返回错误信息。

2.2.2 删除Policy

Dbms_Rls.drop_policy(object_schema --要删除的Policy所在的Schema

,object_name --要删除Policy的数据表(或视图)名称

,policy_name --要删除的Policy名称

);

2.2.3 设定Policy状态

Dbms_Rls.Enable_Policy(object_schema --要删除的Policy所在的Schema

,object_name --要删除Policy的数据表(或视图)名称

,policy_name --要删除的Policy名称

,Enable --是否启用，值为'True'或'False'

);

2.3 Policy使用特性及使用建议

● 一个数据表(或视图)可以有多个Policy，但Policy的名称在整个Schema范围内不答应重复。

● 假如将Policy指定到视图，则删除Policy后，应重新编译该视图，否则User_Updatable_Columns系统字典表返回的是否可新增修改删除的信息可能会全部为“NOT”。

● 通过Policy可以限制用户对数据表记录的操作范围。假如Policy加在数据表，则由于前台涉及的数据源(通常是视图)往往涉及许多张数据表，权限控制难度很大，建议将Policy加在视图。

3 Oracle Policy 应用实例

--3.1 创建测试数据表

Create Table T_Policy(T1 Varchar2(10),T2 Number(10));

--3.2 创建测试的Policy函数

CREATE OR REPLACE Function Fn_GetPolicy (P_Schema In Varchar2

,P_Object In Varchar2)

Return Varchar2

Is

Begin

Return 'T2=10';

End;

--3.3 插入测试数据

Insert Into T_Policy Values('a',10);

Insert Into T_Policy Values('b',10);

Insert Into T_Policy Values('c',20);

Commit;

--3.4 加入Policy

Begin

Dbms_Rls.Add_Policy(Object_Schema ='Scott'

,Object_Name ='T_Policy'

,Policy_Name ='T_TestPolicy'

,Function_Schema ='Scott'

,Policy_Function ='Fn_GetPolicy'

,Statement_Types ='Select,Insert,Update,Delete'

,Update_Check ='True'

,Enable ='True'

);

End;

--3.5 测试Policy

Select * From T_Policy;

Insert Into T_Policy Values ('d',10);

Insert Into T_Policy Values ('d',20);

Commit;

--3.6 查看Policyy设定情况

Select * From user_policies;

--重要提示：执行Dbms_Rls.Add_Policy时，必须将执行Dbms_Rls包执行的权限授予Scott。

测试时也可能使用其它Schema，最简单的方法是将测试的Schame设为“DBA”权限。