SQL Server 2016 行级别权限控制
背景
假如我們有關鍵數據存儲在一個表里面,比如人員表中包含員工、部門和薪水信息。只允許用戶訪問各自部門的信息,但是不能訪問其他部門。一般我們都是在程序端實現這個功能,而在sqlserver2016以后也可以直接在數據庫端實現這個功能。
解決
安全已經是一個數據方面的核心問題,每一代的MS數據庫都有關于安全方面的新功能,那么在Sql Server 2016,也有很多這方面的升級,比如‘Row Level Security’, ‘Always Encrypted’, ‘Dynamic Data Masking’, 和‘Enhancement of Transparent Data Encryption’ 等等都會起到安全方面的作用。本篇我將介紹關于Row Level Security (RLS--行級別安全), 能夠控制表中行的訪問權限。RLS 能使我們根據執行查詢人的屬性來控制基礎數據,從而幫助我們容易地為不同用戶提透明的訪問數據。行級安全性使客戶能夠根據執行查詢的用戶的特性控制數據庫中的行。
為了實現RLS我們需要準備下面三個方面:
逐一描述上面三個方面
謂詞函數
謂詞函數是一個內置的表值函數,用于檢查用戶執行的查詢訪問數據是否基于其邏輯定義。這個函數返回一個1來表示用戶可以訪問。
安全謂詞
安全謂詞就是將謂詞函數綁定到表里面,RLS提供了兩種安全謂詞:過濾謂詞和阻止謂詞。過濾謂詞就是在使用SELECT, UPDATE, 和 DELETE語句查詢數據時只是過濾數據但是不會報錯。而阻止謂詞就是在使用違反謂詞邏輯的數據時,顯示地報錯并且阻止用戶使用 AFTER INSERT, AFTER UPDATE, BEFORE UPDATE, BEFORE DELETE 等操作。
安全策略
安全策略對象專門為行級別安全創建,分組所有涉及謂詞函數的安全謂詞。
實例
實例中我們創建一個Person表和測試數據,最后我們讓不懂得用戶訪問各自部門的信息,代碼如下:
Create table dbo.Person(PersonId INT IDENTITY(1,1),PersonName varchar(100),Department varchar(100),Salary INT,User_Access varchar(50))GOINSERT INTO Person (PersonName, Department, Salary, User_Access)SELECT 'Ankit', 'CS', 40000, 'User_CS'UNION ALLSELECT 'Sachin', 'EC', 20000, 'User_EC'UNION ALLSELECT 'Kapil', 'CS', 30000, 'User_CS'UNION ALLSELECT 'Ishant', 'IT', 50000, 'User_IT'UNION ALLSELECT 'Aditya', 'EC', 45000, 'User_EC'UNION ALLSELECT 'Sunny', 'IT', 60000, 'User_IT'UNION ALLSELECT 'Rohit', 'CS', 55000, 'User_CS'GO?
?
此時表已經被創建,并且插入了測試數據,執行下面語句檢索有是有的記錄:
SELECT * FROM Person
正如所示,目前有三個部門department(CS,EC,IT),并且User_Access列表示各自的用戶組。讓我們創建三個測試用戶數據的賬戶語句如下:
--For CS departmentCREATE USER User_CS WITHOUT LOGIN--For EC departmentCREATE USER User_EC WITHOUT LOGIN-- For IT DepartmentCREATE USER User_IT WITHOUT LOGIN?
在創建了用戶組以后,授權讀取權限給上面是哪個新建的用戶,執行語句如下:
---授予select權限給所有的用戶GRANT SELECT ON Person TO User_CSGRANT SELECT ON Person TO User_ECGRANT SELECT ON Person TO User_IT?
現在我們創建一個謂詞函數,該函數是對于查詢用戶是不可見的。
----Create functionCREATE FUNCTION dbo.PersonPredicate( @User_Access AS varchar(50) )RETURNS TABLEWITH SCHEMABINDINGASRETURN SELECT 1 AS AccessRightWHERE @User_Access = USER_NAME()GO?
?
這個函數是只返回行,如果正在執行查詢的用戶的名字與User_Access 列匹配,那么用戶允許訪問指定的行。在創建該函數后,還需要創建一個安全策略,使用上面的謂詞函數PersonPredicate來對表進行過濾邏輯的綁定,腳本如下:
--安全策略CREATE SECURITY POLICY PersonSecurityPolicyADD FILTER PREDICATE dbo.PersonPredicate(User_Access) ON dbo.PersonWITH (STATE = ON)?
?
State(狀態)為ON才能是策略生效,如果打算關閉策略,你可以改變狀態為OFF。
再來看一下查詢結果:
這次查詢沒有返回任何行,這意味著謂詞函數的定義和策略的創建后,用戶查詢需要具有相應權限才能返回行,接下來使用不同用戶來查詢這個數據,首先,我們用用戶User_CS來查詢一下結果:
EXECUTE AS USER = 'User_CS'SELECT * FROM dbo.PersonREVERT?
?
正如所示,我們看到只有三行數據數據該用戶,User_CS,已經檢索出來。因此,過濾函數將其他不屬于該用戶組的數據過濾了。
實際上這個查詢執行的過程就是數據庫內部調用謂詞函數,如下所示:
SELECT * FROM dbo.Person
WHERE User_Name() = 'User_CS'
其他兩組用戶的查詢結果是相似的這里就不一一演示了。
因此,我們能看到執行查詢根據用的不同得到只屬于指定用戶組的指定數據。這就是我們要達成的目的。
到目前為止,我們已經演示了過濾謂詞,接下來我們演示一下如何阻止謂詞。執行如下語句來授權DML操作權限給用戶。
--授權DML 權限GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_CSGRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_ECGRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_IT?
我們用用戶User_IT執行插入語句,并且插入用戶組為UserCS的,語句如下:
EXECUTE AS USER = 'User_IT'INSERT INTO Person (PersonName, Department, Salary, User_Access)SELECT 'Soniya', 'CS', 35000, 'User_CS'REVERT?
but,竟然沒有報錯,插入成功了。
讓我們在檢查一下用戶數據插入的情況:
EXECUTE AS USER = 'User_IT'SELECT * FROM dbo.PersonREVERT?
奇怪,新插入行并沒有插入到該用戶組'User_IT'中。而是出現在了'User_CS' 的用戶組數據中。
--插入數據出現在了不同的用戶組EXECUTE AS USER = 'User_CS'SELECT * FROM dbo.PersonREVERT?
通過上面的例子我們發現,過濾謂詞不不會阻止用戶插入數據,因此沒有錯誤,這是因為沒有在安全策略中定義阻止謂詞。讓我們加入阻止謂詞來顯示報錯,有四個阻止謂詞AFTER INSERT, AFTER UPDATE, BEFORE UPDATE, 和 BEFORE DELETE可以使用。我們這里測試使用AFTER INSERT 謂詞。這個謂詞阻止用戶插入記錄到沒有權限查看的數據用戶組。
添加謂詞阻止的安全策略,代碼如下:
--添加阻止謂詞ALTER SECURITY POLICY PersonSecurityPolicyADD BLOCK PREDICATE dbo.PersonPredicate(User_Access)ON dbo.Person AFTER INSERT?
現在我們用之前類似代碼再試一下,是否可以插入數據:
EXECUTE AS USER = 'User_CS'INSERT INTO Person (PersonName, Department, Salary, User_Access)SELECT 'Sumit', 'IT', 35000, 'User_IT'REVERT?
?
擦,果然這次錯誤出提示出現了,阻止了不同權限用戶的插入。因此我們能說通過添加阻止謂詞,未授權用戶的DML操作被限制了。
注意:在例子中每個部門只有一個用戶組成。如果在一個部門包含多個用戶的情況下,我們需要創建分支登錄為每個用戶都分配需要的權限,因為謂詞函數應用于用戶基礎并且安全策略取決于謂詞函數。
?
行級別安全的限制
這里有幾個行級別安全的限制:
總結
帶有行級別安全功能的SQLServer2016,我們可以不通過應用程序級別的代碼修改來實現數據記錄的權限控制。行級別安全通過使用謂詞函數和安全策略實現,不需要修改各種DML代碼,伴隨著現有代碼即可實現。
超強干貨來襲 云風專訪:近40年碼齡,通宵達旦的技術人生總結
以上是生活随笔為你收集整理的SQL Server 2016 行级别权限控制的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 把日出拍成大片的手机!大光圈+黑白彩色双
- 下一篇: linux cmake编译源码,linu