SQL Server 2016 行級別權限控制

小說:集杰朝陽棋牌作者:杜華建密更新時間:2019-02-20字數:31556

除非劉皓強大到能擾亂天機,顛倒宙斯留在神之方舟的分魂和本體之間的聯系,直接切斷兩者的聯系的同時還無法讓宙斯察覺到,不然的話就算怎么封印都沒用。

1168棋牌游戲官方下載

“鳴人,劉皓說的不錯,霧忍不同于我們木葉,如果剛才你在說下去,真的很有可能會殺死你,五大忍村里面就數霧忍村的忍者最為冷血。
隨手一招,一顆赤紅色珠子從蜥蜴人體內飛出落入手中,查看一下果然有精純的火焰能量但是卻極為狂暴,看樣子長期生活在熔巖當中,導致這些蜥蜴人體內類似魔核一樣的珠子里面的能量比起一般火屬性魔獸都要狂暴。

得知跟域外邪魔有關,甚至跟鎮八荒大陣有些牽連,她們同樣不敢大意,也趕緊率領人前來掠陣。

SQL Server 2016 行級別權限控制


背景

假如我們有關鍵數據存儲在一個表里面,比如人員表中包含員工、部門和薪水信息。只允許用戶訪問各自部門的信息,但是不能訪問其他部門。一般我們都是在程序端實現這個功能,而在sqlserver2016以后也可以直接在數據庫端實現這個功能。

解決

安全已經是一個數據方面的核心問題,每一代的MS數據庫都有關于安全方面的新功能,那么在Sql Server 2016,也有很多這方面的升級,比如‘Row Level Security’, ‘Always Encrypted’, ‘Dynamic Data Masking’, 和‘Enhancement of Transparent Data Encryption’ 等等都會起到安全方面的作用。本篇我將介紹關于Row Level Security (RLS--行級別安全), 能夠控制表中行的訪問權限。RLS 能使我們根據執行查詢人的屬性來控制基礎數據,從而幫助我們容易地為不同用戶提透明的訪問數據。行級安全性使客戶能夠根據執行查詢的用戶的特性控制數據庫中的行。

為了實現RLS我們需要準備下面三個方面:

  1. 謂詞函數
  2. 安全謂詞
  3. 安全策略

逐一描述上面三個方面

謂詞函數

謂詞函數是一個內置的表值函數,用于檢查用戶執行的查詢訪問數據是否基于其邏輯定義。這個函數返回一個1來表示用戶可以訪問。

安全謂詞

安全謂詞就是將謂詞函數綁定到表里面,RLS提供了兩種安全謂詞:過濾謂詞和阻止謂詞。過濾謂詞就是在使用SELECT, UPDATE, 和 DELETE語句查詢數據時只是過濾數據但是不會報錯。而阻止謂詞就是在使用違反謂詞邏輯的數據時,顯示地報錯并且阻止用戶使用 AFTER INSERT, AFTER UPDATE, BEFORE UPDATE, BEFORE DELETE 等操作。

安全策略

安全策略對象專門為行級別安全創建,分組所有涉及謂詞函數的安全謂詞。

實例

實例中我們創建一個Person表和測試數據,最后我們讓不懂得用戶訪問各自部門的信息,代碼如下:

Create table dbo.Person

(

PersonId INT IDENTITY(1,1),

PersonName varchar(100),

Department varchar(100),

Salary INT,

User_Access varchar(50)

)

GO

INSERT INTO Person (PersonName, Department, Salary, User_Access)

SELECT "Ankit", "CS", 40000, "User_CS"

UNION ALL

SELECT "Sachin", "EC", 20000, "User_EC"

UNION ALL

SELECT "Kapil", "CS", 30000, "User_CS"

UNION ALL

SELECT "Ishant", "IT", 50000, "User_IT"

UNION ALL

SELECT "Aditya", "EC", 45000, "User_EC"

UNION ALL

SELECT "Sunny", "IT", 60000, "User_IT"

UNION ALL

SELECT "Rohit", "CS", 55000, "User_CS"

GO

?

?

此時表已經被創建,并且插入了測試數據,執行下面語句檢索有是有的記錄:

SELECT * FROM Person

clip_image001

正如所示,目前有三個部門department(CS,EC,IT),并且User_Access列表示各自的用戶組。讓我們創建三個測試用戶數據的賬戶語句如下:

--For CS department

CREATE USER User_CS WITHOUT LOGIN

--For EC department

CREATE USER User_EC WITHOUT LOGIN

-- For IT Department

CREATE USER User_IT WITHOUT LOGIN

?

在創建了用戶組以后,授權讀取權限給上面是哪個新建的用戶,執行語句如下:

---授予select權限給所有的用戶

GRANT SELECT ON Person TO User_CS

GRANT SELECT ON Person TO User_EC

GRANT SELECT ON Person TO User_IT

?

現在我們創建一個謂詞函數,該函數是對于查詢用戶是不可見的。

----Create function

CREATE FUNCTION dbo.PersonPredicate

( @User_Access AS varchar(50) )

RETURNS TABLE

WITH SCHEMABINDING

AS

RETURN SELECT 1 AS AccessRight

WHERE @User_Access = USER_NAME()

GO

?

?

這個函數是只返回行,如果正在執行查詢的用戶的名字與User_Access 列匹配,那么用戶允許訪問指定的行。在創建該函數后,還需要創建一個安全策略,使用上面的謂詞函數PersonPredicate來對表進行過濾邏輯的綁定,腳本如下:

--安全策略

CREATE SECURITY POLICY PersonSecurityPolicy

ADD FILTER PREDICATE dbo.PersonPredicate(User_Access) ON dbo.Person

WITH (STATE = ON)

?

?

State(狀態)為ON才能是策略生效,如果打算關閉策略,你可以改變狀態為OFF。

再來看一下查詢結果:

clip_image002

這次查詢沒有返回任何行,這意味著謂詞函數的定義和策略的創建后,用戶查詢需要具有相應權限才能返回行,接下來使用不同用戶來查詢這個數據,首先,我們用用戶User_CS來查詢一下結果:

EXECUTE AS USER = "User_CS"

SELECT * FROM dbo.Person

REVERT

?

?

正如所示,我們看到只有三行數據數據該用戶,User_CS,已經檢索出來。因此,過濾函數將其他不屬于該用戶組的數據過濾了。

實際上這個查詢執行的過程就是數據庫內部調用謂詞函數,如下所示:

SELECT * FROM dbo.Person

WHERE User_Name() = "User_CS"

其他兩組用戶的查詢結果是相似的這里就不一一演示了。

因此,我們能看到執行查詢根據用的不同得到只屬于指定用戶組的指定數據。這就是我們要達成的目的。

到目前為止,我們已經演示了過濾謂詞,接下來我們演示一下如何阻止謂詞。執行如下語句來授權DML操作權限給用戶。

--授權DML 權限

GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_CS

GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_EC

GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_IT

?

我們用用戶User_IT執行插入語句,并且插入用戶組為UserCS的,語句如下:

EXECUTE AS USER = "User_IT"

INSERT INTO Person (PersonName, Department, Salary, User_Access)

SELECT "Soniya", "CS", 35000, "User_CS"

REVERT

?

but,竟然沒有報錯,插入成功了。

讓我們在檢查一下用戶數據插入的情況:

EXECUTE AS USER = "User_IT"

SELECT * FROM dbo.Person

REVERT

?

奇怪,新插入行并沒有插入到該用戶組"User_IT"中。而是出現在了"User_CS" 的用戶組數據中。

--插入數據出現在了不同的用戶組

EXECUTE AS USER = "User_CS"

SELECT * FROM dbo.Person

REVERT

?

clip_image005

通過上面的例子我們發現,過濾謂詞不不會阻止用戶插入數據,因此沒有錯誤,這是因為沒有在安全策略中定義阻止謂詞。讓我們加入阻止謂詞來顯示報錯,有四個阻止謂詞AFTER INSERT, AFTER UPDATE, BEFORE UPDATE, 和 BEFORE DELETE可以使用。我們這里測試使用AFTER INSERT 謂詞。這個謂詞阻止用戶插入記錄到沒有權限查看的數據用戶組。

添加謂詞阻止的安全策略,代碼如下:

--添加阻止謂詞

ALTER SECURITY POLICY PersonSecurityPolicy

ADD BLOCK PREDICATE dbo.PersonPredicate(User_Access)

ON dbo.Person AFTER INSERT

?

現在我們用之前類似代碼再試一下,是否可以插入數據:

EXECUTE AS USER = "User_CS"

INSERT INTO Person (PersonName, Department, Salary, User_Access)

SELECT "Sumit", "IT", 35000, "User_IT"

REVERT

?

1

?

擦,果然這次錯誤出提示出現了,阻止了不同權限用戶的插入。因此我們能說通過添加阻止謂詞,未授權用戶的DML操作被限制了。

注意:在例子中每個部門只有一個用戶組成。如果在一個部門包含多個用戶的情況下,我們需要創建分支登錄為每個用戶都分配需要的權限,因為謂詞函數應用于用戶基礎并且安全策略取決于謂詞函數。

?

行級別安全的限制

這里有幾個行級別安全的限制:

  1. 謂詞函數一定要帶有WITH SCHEMABINDING關鍵詞,如果函數沒有該關鍵字則綁定安全策略時會拋出異常。
  2. 在實施了行級別安全的表上不能創建索引視圖。
  3. 內存數據表不支持
  4. 全文索引不支持

總結

帶有行級別安全功能的SQLServer2016,我們可以不通過應用程序級別的代碼修改來實現數據記錄的權限控制。行級別安全通過使用謂詞函數和安全策略實現,不需要修改各種DML代碼,伴隨著現有代碼即可實現。

當前文章:http://www.hfcxdn.com/R/98277.html

發布時間:2019-02-20 02:35:42

貝貝棋牌游戲中心網址 exo小游戲橙光手機版 集結號電影主題曲 老友棋牌白城麻將房卡 真人李逵劈魚游戲下載 撲克牌有多少種玩法 永豐捕魚棋牌評測網 撲克王棋牌游戲下載

編輯:安宗鄧華

我要說兩句: (0人參與)

發布
捕鱼达人之深海狩猎