Oracle的VPD介绍

Oracle的VPD介绍

1、什么是VPD?

虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行级访问控制。对于互联网访问，虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一 Oracle 数据库中维护多个公司的数据，但只允许每个公司查看其自身数据。

在企业内部，虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性，而不用在访问数据的每个应用程序中分别实现安全性。因为是在数据库中实施安全性，所以不管用户访问数据的方式如何，安全性较以前更高。访问即席查询工具或新报表生成程序的用户不再能绕过安全环节 。

2、VPD是如何工作的？

将一个或多个安全策略与表或视图关联后，就可以实现虚拟专用数据库。对带安全策略的表进行直接或间接访问时，数据库将调用一个实施该策略的函数。策略函数返回一个访问条件（WHERE 子句），即谓词。应用程序将它附加到用户的 SQL 语句，从而动态修改用户的数据访问权限。

你可以通过编写一个存储过程将 SQL 谓词附加到每个 SQL 语句（用于控制该语句的行级别访问权限）来实施 VPD。例如，如果 John Doe（他属于 Department 10）输入 SELECT * FROM emp 语句，则可以使用 VPD 添加 WHERE DEPT = 10 子句。这样，您便可以通过对查询进行修改来限制访问某些行的数据。

3、简单案例

二、使用VPD的示例：

1）未进行权限控制时，执行的查询语句,可以看到所有商品在2002年的销售额：
SELECT year, prod_category, sum(sales)
FROM sales_mv
WHERE year = '2002';

2）如果加上了VPD策略,限制访问指定范围内的产品（例如仅能访问'VIDEOS','RADIOS'），
再执行上述的查询语句，会自动加上限制条件--AND prod_category in ('VIDEOS','RADIOS')，最后实际执行的语句为：

SELECT year, prod_category, sum(sales)
FROM sales_factWHERE year = '2002'
AND prod_category in ('VIDEOS','RADIOS'); --自动加上的限制条件