Oracle handbook系列之虚拟专用数据库VPD的使用详解
Oracle handbook系列之虚拟专用数据库VPD的使用是本文我们主要要介绍的内容,VPD,Oracle Virtual Private Database,即Oracle虚拟专用数据库,是指通过应用一些策略,使得用户只能访问被允许访问的那部分数据。其原理相对简单,Oracle根据策略自动为相应用户提交的语句添加Where句,从而控制用户可以访问和操作的数据。
首先我们准备演示用的几张表,并插入少量的测试数据:
- CREATETABLEvpdsample_clothing(
- clothing_idNUMBER,
- typeVARCHAR2(30),
- brandVARCHAR2(30),
- descriptonVARCHAR2(100)
- );
- --
- INSERTINTOvpdsample_clothingVALUES(10002,'jacket','ABC','autumnstyle');
- INSERTINTOvpdsample_clothingVALUES(10003,'t-shirt','XYZ','summerstyle');
- commit;
- CREATETABLEvpdsample_books(
- book_idNUMBER,
- nameVARCHAR2(30),
- authorVARCHAR2(20)
- );
- --
- INSERTINTOvpdsample_booksVALUES(10005,'CountryDriving','PeterHessler');
- INSERTINTOvpdsample_booksVALUES(10006,'Lifewithoutlimits','NickVujicic');
- commit;
(以上两个表模拟一个简单的库存情况,库中有两类物品,服装、图书。这里我们需要满足两个表中的ID的唯一性(可以通过sequence来实现)。)
- CREATETABLEvpdsample_users(
- user_nameVARCHAR2(20),
- user_privilegeNUMBER
- );
- --
- INSERTINTOvpdsample_usersVALUES('Jack',1);
- INSERTINTOvpdsample_usersVALUES('Rose',2);
- COMMIT;
(这个表存储用户的权限信息,其中的权限即后表vpdsample_privileges中的权限ID字段。)
(这个表存储每个权限ID对应的权限信息,即对哪些对象(服装或图书)有权限。)
第二步,我们要创建一个context(实际上是【context名称空间】)。可以简单地把context理解为一个定义在内存中的容器,在此容器中我们可以定义若干个键值对,这些键值对可以在一定的范围内被共享(比如同一个session中,或者同一个Oracle实例中)
首先,使用system用户登录,赋予创建者相应的权限:grant create any context to user1;然后通过:CREATE OR REPLACE CONTEXT VPD USING pkg_vpdsample ACCESSED GLOBALLY;这里我们创建了一个叫’vpd’的context,’using’后面的是一个PLSQL package的名字,出于安全性考虑,Oracle需要你在创建context时指定一个包名,表示后续对些context的修改只能通过此包中的存储过程进行修改,不能通过dbms_session.set_context()直接进行修改。创建context时,package不存在并不会导致编译错误。
最后’accessed globally’是一个可选项,如果未添加此项,表示此context使用范围是某一session;如果指定了此项,则表示该context可以在整个数据库实例范围内共享。
欲删除context同样需要赋予相应的权限:
- grant drop any context to user1;
- drop context VPD;
第三步,建立一个package(即上面的pkg_vpdsample),包中的各个函数及存储过程的作用会随后逐一给出:
- CREATEORREPLACEPACKAGEpkg_vpdsample
- IS
- PROCEDUREenable_vpd;
- PROCEDUREdisable_vpd;
- PROCEDUREset_context(p_user_nameINVARCHAR2);
- FUNCTIONgen_vpd_predicate(p_column_nameINVARCHAR2)RETURNVARCHAR2;
- FUNCTIONapply_vpd_clothing(p1invarchar2,p2invarchar2)RETURNVARCHAR2;
- FUNCTIONapply_vpd_books(p1invarchar2,p2invarchar2)RETURNVARCHAR2;
- END;
- CREATEORREPLACEPACKAGEBODYpkg_vpdsampleIS
- PROCEDUREenable_vpdIS
- BEGIN
- DBMS_SESSION.set_context(namespace=>'VPD',
- attribute=>'ENABLE',
- value=>'1');
- END;
- /*======================*/
- PROCEDUREdisable_vpdIS
- BEGIN
- DBMS_SESSION.set_context(namespace=>'VPD',
- attribute=>'ENABLE',
- value=>'0');
- END;
- /*======================*/
- PROCEDUREset_context(p_user_nameINVARCHAR2)IS
- l_privilegeVARCHAR2(10);
- BEGIN
- SELECTuser_privilege
- INTOl_privilege
- FROMvpdsample_users
- WHEREuser_name=p_user_name;
- DBMS_SESSION.set_identifier(client_id=>l_privilege);
- END;
- /*======================*/
- FUNCTIONgen_vpd_predicate(p_column_nameINVARCHAR2)RETURNVARCHAR2IS
- l_vpd_flagVARCHAR2(1);
- l_privilegeVARCHAR2(10);
- BEGIN
- l_vpd_flag:=NVL(SYS_CONTEXT('VPD','ENABLE'),'0');
- IFl_vpd_flag=0THEN
- RETURNNULL;
- ELSE
- l_privilege:=SYS_CONTEXT('USERENV','CLIENT_IDENTIFIER');
- IFl_privilegeISNULLTHEN
- RETURN'1=2';
- ELSE
- RETURNp_column_name||'IN(SELECTobject_idFROMvpdsample_privilegesWHEREprivilege_id='||l_privilege||')';
- ENDIF;
- ENDIF;
- END;
- /*======================*/
- FUNCTIONapply_vpd_clothing(p1invarchar2,p2invarchar2)RETURNVARCHAR2IS
- BEGIN
- RETURNgen_vpd_predicate('clothing_id');
- END;
- /*======================*/
- FUNCTIONapply_vpd_books(p1invarchar2,p2invarchar2)RETURNVARCHAR2IS
- BEGIN
- RETURNgen_vpd_predicate('book_id');
- END;
- END;
enable_vpd,disable_vpd:这两个存储过程用于设置context vpd下的一个自定义属性’enable’,1表是启用vpd,0表禁用vpd,由于我们在创建此context时指定了accessed globally,所以这些属性是可以被跨session访问的。这两个存储过程调用了dbms_session,因此需要被赋予相应的权限:grant execute on dbms_session to user1;
set_context:上面我们提到了context,并且在enable_vpd与disable_vpd中使用了dbms_session.set_context来设置自定义的属性,其实除了这样自定义的context外,Oracle还提供了预定义的context ’userenv’,该名称空间下有若干预定义的属性,比如’client_identifier’,设置此属性我们不使用set_context,而是使用dbms_session.set_identifier()。
本例中此存储过程根据传入的用户名,查找到该用户的权限ID,并将此ID作为client_identifier保存到context ’userenv’中,以便后续使用。在实际应用中,此存储过程应该是由外部的应用程序调用的,应用程序可以在登录验证完成后,调用此存储过程写入context。
gen_vpd_predicate:根据传入的字段名称生成一个语法正确的where子句。这里首先判断了是否启用了vpd,未设置vpd.enable属性的也认为的已经启用了。随后判断是否已设置userenv.client_identifier属性,如果未设置,则返回一个始终为false的where子句以防止用户查看数据。最后生成的语句中,根据取到的client_identifier(即用户的权限ID)查找权限表vpdsample_privileges得到该用户有权限的所有对象ID。
apply_vpd_clothing, apply_vpd_books:由名字可见,这两个函数将被用于两个不同的表,因为服装表与图书表所用于权限验证的字段有着不同的名字。另外,大家可以看到这两个将被用于vpd的函数都有两个看似没用的参数p1与p2,这是vpd接口的要求,第一个用于接收schema名,第二个用于接收table/view/synonym名称,我们定义函数必须符合接口的要求。当然除了p1,p2外,你可以有自己额外的参数。
一切准备完毕,开始调用Oracle提供的dbms_rls包应用vpd策略,在调用之前,需要赋予用户相应权限:grant execute on dbms_rls to user1;
其中policy_name可以自定义。
随后我们启用vpd:(需要说明的是,DBMS_RLS包本身有ENABLE_POLICY()方法用于启用或禁用一个vpd策略,但它只能一次启用/禁用一张表上的一个vpd策略,为了一次性启用/禁用所有表上的vpd策略,可以采取类似上面的做法。)并设置context:随后我们查询vpdsample_clothing表,只返回了ID为10002的服装信息;查询vpdsample_books也类似,只返回了ID为10005的图书信息。可以更换用户,删除vpd策略则使用:
- begin
- dbms_rls.drop_policy(object_name=>'VPDSAMPLE_CLOTHING',policy_name=>'POL_CLOTHING');
- dbms_rls.drop_policy(object_name=>'VPDSAMPLE_BOOKS',policy_name=>'pol_books');
- end;
- begin
- pkg_vpdsample.set_context('Rose');
- end;
- begin
- pkg_vpdsample.set_context('Jack');
- end;
- begin
- pkg_vpdsample.enable_vpd;
- end;
关于Oracle handbook系列之虚拟专用数据库VPD的相关知识就介绍到这里了,希望本次的介绍能够对您有所收获!