|
|
/*-----------------------------------------------------------------
采用oracle的dbms_rls包实现数据访问控制
在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,
仓库不充许查看有关部门的字段等等)。但在某些系统中,权限控制又必须定义到数据行访问权限的控制,
此需求一般出现在同一系统,不同的相对独立机构使用的情况。(如:集团下属多个子公司,所有子公司使用同一套数据表,
但不同子公司的数据相对隔离), 绝大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、
系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改。
本文探讨的使用Oracle提供的Policy管理方法来实现数据行的隔离
注意:这里的policy是在9i上测试,8i的policy是不同9i的,但是原理是一样的.
------------------------------------------------------------------*/
-- (1)建立测试数据表(t_policy):
create table t_policy
(
t1 varchar2(10),
t2 number(10)
);
insert into t_policy values('a',10);
insert into t_policy values('b',20);
insert into t_policy values('c',30);
commit;
-- (2)建立测试policy的函数:
create or replace function fn_getpolicy(p_schema in varchar2,p_object in varchar2) return varchar2 is
result varchar2(1000);
begin
result:='t2 not in (10)'; -- 此子句将被加载于启用了该Policy的DML语言之后
return(result);
end fn_getpolicy;
-- (3)加入policy:
declare
begin
dbms_rls.add_policy(
object_schema =>'APPS', --数据表(或视图)所在的schema名称
object_name =>'T_POLICY', --数据表(或视图)的名称
policy_name =>'t_testpolicy', --policy的名称,主要用于将来对policy的管理
function_schema =>'APPS', --返回where子句的函数所在schema名称
policy_function =>'fn_getpolicy', --返回where子句的函数名称
statement_types =>'select,insert,update,delete', --要使用该policy的dml类型,如'select,insert,update,delete'
update_check =>true, --仅适用于statement_type为'insert,update',值为'true'或'false'
enable =>true --是否启用,值为'true'或'false'
);
end;
--注:如果update_check设为'true',则用户插入的值不符合policy_function返回条件时,该dml执行返回错误信息。
-- 现在就可以工作了:
select * from t_policy;
--看看结果怎样, 是不是少了t2=10这项了.
-- (4)删除policy
declare
begin
dbms_rls.drop_policy('niegc','t_policy','t_testpolicy');
end;
-- (5)设置policy的状态
declare
begin
dbms_rls.enable_policy('niegc','t_policy','t_testpolicy',false);
end; |
|
楼主: gzken2005
IP卡
狗仔卡
发表于 2009-1-15 16:28
显身卡
