zoukankan      html  css  js  c++  java
  • Sql Server 2016新功能之 Row-Level Security

    Sql Server 2016 有一个新功能叫 Row-Level Security ,大概意思是行版本的安全策略(原来我是个英语渣_(:з」∠)_)

    直接上例子。这个功能相当通过对表添加一个函数作为过滤规则,使得拥有不同条件的用户(或者登录名) 之类的,只能获取到符合条件的数据。相对来说是提供了那么一点的便捷性,当然也增加了数据的安全性,相当于每个用户连接进来只能看到

    符合规则的数据(当然,这里的用户只是一个举例。其实是可以通过编写过滤函数来实现的)

    举个例子

    有三个用户 Sales1 ,Sales 2 ,Manager 3个数据库用户,然后用一个Sales的表来寄存他们的订单记录

    CREATE TABLE Sales  
        (  
        OrderID int,  
        SalesRep sysname,  
        Product varchar(10),  
        Qty int  
        );  
    
    
    INSERT Sales VALUES   
    (1, 'Sales1', 'Valve', 5),   
    (2, 'Sales1', 'Wheel', 2),   
    (3, 'Sales1', 'Valve', 4),  
    (4, 'Sales2', 'Bracket', 2),   
    (5, 'Sales2', 'Wheel', 5),   
    (6, 'Sales2', 'Seat', 5);  
    -- View the 6 rows in the table  
    SELECT * FROM Sales;  
    go

    这是全部表的数据的截图

    然后添加3个用户,分别就是Sales1 Sales2 Manager 3个用户,分别对他们的赋予Sales表的查询和删除(用于测试删除功能) 的权限。

    CREATE USER Manager WITHOUT LOGIN;  
    CREATE USER Sales1 WITHOUT LOGIN;  
    CREATE USER Sales2 WITHOUT LOGIN;
    
    GRANT SELECT,delete ON Sales TO Manager;  
    GRANT SELECT,delete ON Sales TO Sales1;  
    GRANT SELECT,delete ON Sales TO Sales2; 

    然后以下是这个功能的核心部分。首先我们创建一个过滤函数,然后将这个过滤函数添加到这个表的安全策略里面,就可以看到效果了。

    函数逻辑很简单,传入一个@SalesRep 的名称,用于匹配当前的 User_Name。匹配了才返回数据

    然后下面一行是创建了一个安全策略,并且在Sales 的表里面使用函数 fn_securitypredicate 作为表的筛选器。传入函数的参数选定为 SalesRep 字段(也就是我们建表的那个销售代表字段了)

    CREATE FUNCTION fn_securitypredicate(@SalesRep AS sysname)  
        RETURNS TABLE  
    WITH SCHEMABINDING  
    AS  
        RETURN SELECT 1 AS fn_securitypredicate_result   
    WHERE @SalesRep = USER_NAME() OR USER_NAME() = 'Manager';  
    
    CREATE SECURITY POLICY SalesFilter  
    ADD FILTER PREDICATE dbo.fn_securitypredicate(SalesRep)   
    ON dbo.Sales  
    WITH (STATE = ON);  

    然后我们看下查询的结果

    EXECUTE AS USER = 'Sales1';  
    SELECT * FROM Sales;   
    
    REVERT;  
      
    EXECUTE AS USER = 'Sales2';  
    SELECT * FROM Sales;   
    REVERT;  
      
    EXECUTE AS USER = 'Manager';  
    SELECT * FROM Sales;   
    REVERT;  

     效果就是这样,当然如果是要设置不同的过滤条件,设置不同的字段的时候,是可以通过上文的函数里面的代码和安全策略进行设置的。按照这个过滤情况,如果登录用户非Sales1 Sales2 Manager 3个其中之一,是什么都查询不了的。

    另外,用户无法删除被过滤的数据。比方说 Sales1 不能删除或修改OrderID = 3 的数据。

    RLS的出现也是能帮助我们减轻一定功能上面的实现的~

    简单的演示了一下这个RLS的功能~分享得不够好的地方烦请大家拍砖.

  • 相关阅读:
    WordPress后台添加友情链接管理功能
    WordPress评论时一键填入昵称、邮箱和网址
    七牛云存储更新缓存图片的方法
    WordPress文章中插入qq表情
    WordPress文章页添加展开/收缩功能
    WordPress添加显示和隐藏侧边栏按钮开关
    Defraggler磁盘碎片整理工具,让你的电脑读写速度更快
    如何彻底关闭系统还原功能和删除系统还原点
    WordPress博客彻底关闭图片缩略图功能的方法
    WP Super Cache+七牛云配置CDN加速,让你的网站秒开
  • 原文地址:https://www.cnblogs.com/Gin-23333/p/6039306.html
Copyright © 2011-2022 走看看