Oracle handbook系列之虚拟专用数据库VPD的使用详解_Oracle

您所在的位置：程序员俱乐部 > 数据库 > Oracle > Oracle handbook系列之虚拟专用数据库VPD的使用详解

Oracle handbook系列之虚拟专用数据库VPD的使用详解

2013/8/10 1:21:35 程序员俱乐部我要评论(0)

摘要：Oraclehandbook系列之虚拟专用数据库VPD的使用是本文我们主要要介绍的内容，VPD，OracleVirtualPrivateDatabase，即Oracle虚拟专用数据库，是指通过应用一些策略，使得用户只能访问被允许访问的那部分数据。其原理相对简单，Oracle根据策略自动为相应用户提交的语句添加Where句，从而控制用户可以访问和操作的数据。首先我们准备演示用的几张表，并插入少量的测试数据：CREATETABLEvpdsample_clothing
标签：详解使用 ORA 数据库数据 Oracle

Oracle handbook系列之虚拟专用数据库VPD的使用是本文我们主要要介绍的内容，VPD，Oracle Virtual Private Database，即Oracle虚拟专用数据库，是指通过应用一些策略，使得用户只能访问被允许访问的那部分数据。其原理相对简单，Oracle根据策略自动为相应用户提交的语句添加Where句，从而控制用户可以访问和操作的数据。

首先我们准备演示用的几张表，并插入少量的测试数据：

class="dp-xml">CREATETABLEvpdsample_clothing(  
clothing_idNUMBER,  
typeVARCHAR2(30),  
brandVARCHAR2(30),  
descriptonVARCHAR2(100)  
);  
--  
INSERTINTOvpdsample_clothingVALUES(10002,'jacket','ABC','autumnstyle');  
INSERTINTOvpdsample_clothingVALUES(10003,'t-shirt','XYZ','summerstyle');  
commit;  
CREATETABLEvpdsample_books(  
book_idNUMBER,  
nameVARCHAR2(30),  
authorVARCHAR2(20)  
);  
--  
INSERTINTOvpdsample_booksVALUES(10005,'CountryDriving','PeterHessler');  
INSERTINTOvpdsample_booksVALUES(10006,'Lifewithoutlimits','NickVujicic');  
commit;

（以上两个表模拟一个简单的库存情况，库中有两类物品，服装、图书。这里我们需要满足两个表中的ID的唯一性（可以通过sequence来实现）。）

CREATETABLEvpdsample_users(  
user_nameVARCHAR2(20),  
user_privilegeNUMBER  
);  
--  
INSERTINTOvpdsample_usersVALUES('Jack',1);  
INSERTINTOvpdsample_usersVALUES('Rose',2);  
COMMIT;

（这个表存储用户的权限信息，其中的权限即后表vpdsample_privileges中的权限ID字段。）

（这个表存储每个权限ID对应的权限信息，即对哪些对象（服装或图书）有权限。）

第二步，我们要创建一个context（实际上是【context名称空间】）。可以简单地把context理解为一个定义在内存中的容器，在此容器中我们可以定义若干个键值对，这些键值对可以在一定的范围内被共享（比如同一个session中，或者同一个Oracle实例中）

首先，使用system 用户登录，赋予创建者相应的权限：grant create any context to user1;然后通过：CREATE OR REPLACE CONTEXT VPD USING pkg_vpdsample ACCESSED GLOBALLY;这里我们创建了一个叫’vpd’的context，’using’后面的是一个PLSQL package的名字，出于安全性考虑，Oracle需要你在创建context时指定一个包名，表示后续对些context的修改只能通过此包中的存储过程进行修改，不能通过dbms_session.set_context()直接进行修改。创建context时，package不存在并不会导致编译错误。

最后’accessed globally’是一个可选项，如果未添加此项，表示此context使用范围是某一session；如果指定了此项，则表示该context可以在整个数据库实例范围内共享。

欲删除context同样需要赋予相应的权限：

grant drop any context to user1;  
drop context VPD;

第三步，建立一个package（即上面的pkg_vpdsample），包中的各个函数及存储过程的作用会随后逐一给出：

CREATEORREPLACEPACKAGEpkg_vpdsample  
IS  
PROCEDUREenable_vpd;  
PROCEDUREdisable_vpd;  
PROCEDUREset_context(p_user_nameINVARCHAR2);  
FUNCTIONgen_vpd_predicate(p_column_nameINVARCHAR2)RETURNVARCHAR2;  
FUNCTIONapply_vpd_clothing(p1invarchar2,p2invarchar2)RETURNVARCHAR2;  
FUNCTIONapply_vpd_books(p1invarchar2,p2invarchar2)RETURNVARCHAR2;  
END;  
 
CREATEORREPLACEPACKAGEBODYpkg_vpdsampleIS  
PROCEDUREenable_vpdIS  
BEGIN  
DBMS_SESSION.set_context(namespace=>'VPD',  
attribute=>'ENABLE',  
value=>'1');  
END;  
 
/*======================*/  
PROCEDUREdisable_vpdIS  
BEGIN  
DBMS_SESSION.set_context(namespace=>'VPD',  
attribute=>'ENABLE',  
value=>'0');  
END;  
 
/*======================*/  
PROCEDUREset_context(p_user_nameINVARCHAR2)IS  
l_privilegeVARCHAR2(10);  
BEGIN  
SELECTuser_privilege  
INTOl_privilege  
FROMvpdsample_users  
WHEREuser_name=p_user_name;  
DBMS_SESSION.set_identifier(client_id=>l_privilege);  
END;  
 
/*======================*/  
FUNCTIONgen_vpd_predicate(p_column_nameINVARCHAR2)RETURNVARCHAR2IS  
l_vpd_flagVARCHAR2(1);  
l_privilegeVARCHAR2(10);  
BEGIN  
l_vpd_flag:=NVL(SYS_CONTEXT('VPD','ENABLE'),'0');  
IFl_vpd_flag=0THEN 
RETURNNULL;  
ELSE  
l_privilege:=SYS_CONTEXT('USERENV','CLIENT_IDENTIFIER');  
IFl_privilegeISNULLTHEN  
RETURN'1=2';  
ELSE  
RETURNp_column_name||'IN(SELECTobject_idFROMvpdsample_privilegesWHEREprivilege_id='||l_privilege||')';  
ENDIF;  
ENDIF;  
END;  
 
/*======================*/  
FUNCTIONapply_vpd_clothing(p1invarchar2,p2invarchar2)RETURNVARCHAR2IS  
BEGIN  
RETURNgen_vpd_predicate('clothing_id');  
END;  
 
/*======================*/  
FUNCTIONapply_vpd_books(p1invarchar2,p2invarchar2)RETURNVARCHAR2IS  
BEGIN  
RETURNgen_vpd_predicate('book_id');  
END;  
END;

enable_vpd,disable_vpd：这两个存储过程用于设置context vpd下的一个自定义属性’enable’，1表是启用vpd，0表禁用vpd，由于我们在创建此context时指定了accessed globally，所以这些属性是可以被跨session访问的。这两个存储过程调用了dbms_session，因此需要被赋予相应的权限：grant execute on dbms_session to user1;

set_context：上面我们提到了context，并且在enable_vpd与disable_vpd中使用了dbms_session.set_context来设置自定义的属性，其实除了这样自定义的context外，Oracle还提供了预定义的context ’userenv’，该名称空间下有若干预定义的属性，比如’client_identifier’，设置此属性我们不使用set_context，而是使用dbms_session.set_identifier()。

本例中此存储过程根据传入的用户名，查找到该用户的权限ID，并将此ID作为client_identifier保存到context ’userenv’中，以便后续使用。在实际应用中，此存储过程应该是由外部的应用程序调用的，应用程序可以在登录验证完成后，调用此存储过程写入context。

gen_vpd_predicate：根据传入的字段名称生成一个语法正确的where子句。这里首先判断了是否启用了vpd，未设置vpd.enable属性的也认为的已经启用了。随后判断是否已设置userenv.client_identifier属性，如果未设置，则返回一个始终为false的where子句以防止用户查看数据。最后生成的语句中，根据取到的client_identifier（即用户的权限ID）查找权限表vpdsample_privileges得到该用户有权限的所有对象ID。

apply_vpd_clothing, apply_vpd_books：由名字可见，这两个函数将被用于两个不同的表，因为服装表与图书表所用于权限验证的字段有着不同的名字。另外，大家可以看到这两个将被用于vpd的函数都有两个看似没用的参数p1与p2，这是vpd接口的要求，第一个用于接收schema名，第二个用于接收table/view/synonym名称，我们定义函数必须符合接口的要求。当然除了p1,p2外，你可以有自己额外的参数。

一切准备完毕，开始调用Oracle提供的dbms_rls包应用vpd策略，在调用之前，需要赋予用户相应权限：grant execute on dbms_rls to user1;

其中policy_name可以自定义。

随后我们启用vpd：（需要说明的是，DBMS_RLS包本身有ENABLE_POLICY()方法用于启用或禁用一个vpd策略，但它只能一次启用/禁用一张表上的一个vpd策略，为了一次性启用/禁用所有表上的vpd策略，可以采取类似上面的做法。）并设置context：随后我们查询vpdsample_clothing表，只返回了ID为10002的服装信息；查询vpdsample_books也类似，只返回了ID为10005的图书信息。可以更换用户，删除vpd策略则使用：

begin  
dbms_rls.drop_policy(object_name=>'VPDSAMPLE_CLOTHING',policy_name=>'POL_CLOTHING');  
dbms_rls.drop_policy(object_name=>'VPDSAMPLE_BOOKS',policy_name=>'pol_books');  
end;  
 
begin  
pkg_vpdsample.set_context('Rose');  
end;  
 
begin  
pkg_vpdsample.set_context('Jack');  
end;  
 
begin  
pkg_vpdsample.enable_vpd;  
end;