|
|
如果department_id的值等于60,那么掩藏报告中的salary和commission_pct列。因为谓词是一个静态值,所以一个关系视图肯定也能够完成同样的任务。
使用选择器CASE语句(这个语句在Oracle SQL的8i版本有了)比较depatment_id的值与60的关系的视图,如果相等返回NULL,如果是另外一个值则返回salary。一个类似的CASE语句也可以掩藏commission_pct列的数据。通过只授权访问视图而不是基本标(Employees)来保护数据。
但是如果我稍稍改变一下规则,要求掩藏除了用户本部门内的所有工资。这将会怎样?
你的第一想法可能是简单地创建更多的视图- -每个部门一个- -并且授予每个用户访问对应的视图的权限。有很多理由说明这不是一个好的解决方案,具体如下:
大量的视图可能增加维护负担(例如,如果一个改变了,所有其它的可能也需要改变)。新的部门可能要求新的视图,用户必须授予访问许可,当用户改变所在部门时,这些访问许可也必须改变。
视图中实现的查询可能是静态值,而不是绑定变量,因此大量同等重要的查询副本将存储在共享池中。
应用开发中必须为不同的用户调用不同的视图名,这也是复杂性的一个来源。
列表B对前面文章中的VPD策略函数进行了一些修改。取替直接比较部门号60,该示例中使用了SYS_CONTEXT函数来返回用户部门号(假设这个值在用户登录时设定),然后函数为不同的用户返回一个不同的断言(WHERE语句)。工资只在满足断言条件的行中显示,如果没有设定部门号,将返回始终为假的断言“1==2”,使得整个报告中的所有工资都被掩藏。
更加有利的是调用函数SYS_CONTEXT作为查询中一个绑定的变量,只有该查询的一个副本存储在共享池中来处理所有部门。
也可以使用SYS_CONTEXT函数以同样的方式构建关系视图,但是应用中的一个不同的视图将可能看到所有的数据。VPD方法将会过滤所有对Employees表的访问,而不管是哪个查询。
这是这两种方法的关键区别:视图设计用来过滤一个应用内的数据,而VPD设计用来允许大量用户组透明的共享同样的数据表,每个人只能看到他自己拥有的数据而不管是何应用。
CREATE OR REPLACE VIEW masked_salary_view
AS
SELECT first_name, last_name,
CASE department_id
WHEN 60 THEN NULL
ELSE salary
END AS salary,
department_id
FROM employees
/
CREATE OR REPLACE
FUNCTION rls_dept (obj_owner IN VARCHAR2, obj_name IN VARCHAR2)
RETURN VARCHAR2
AS deptno NUMBER; predicate VARCHAR2(200);
BEGIN deptno := SYS_CONTEXT('HR_CONTEXT','DEPT'); IF deptno IS NULL THEN predicate := '1=2'; ELSE predicate := 'department_id = '||deptno; END IF;
RETURN (predicate);
END rls_dept;
/
|
|
