SQL Server 2016 行级别权限控制
|
背景 假如我们有关键数据存储在一个表里面,比如人员表中包含员工、部门和薪水信息。只允许用户访问各自部门的信息,但是不能访问其他部门。一般我们都是在程序端实现这个功能,而在sqlserver2016以后也可以直接在数据库端实现这个功能。 解决 安全已经是一个数据方面的核心问题,每一代的MS数据库都有关于安全方面的新功能,那么在Sql Server 2016,也有很多这方面的升级,比如‘Row Level Security’,‘Always Encrypted’,‘Dynamic Data Masking’,和‘Enhancement of Transparent Data Encryption’ 等等都会起到安全方面的作用。本篇我将介绍关于Row Level Security (RLS--行级别安全),能够控制表中行的访问权限。RLS 能使我们根据执行查询人的属性来控制基础数据,从而帮助我们容易地为不同用户提透明的访问数据。行级安全性使客户能够根据执行查询的用户的特性控制数据库中的行。 为了实现RLS我们需要准备下面三个方面:
逐一描述上面三个方面 谓词函数 谓词函数是一个内置的表值函数,用于检查用户执行的查询访问数据是否基于其逻辑定义。这个函数返回一个1来表示用户可以访问。 安全谓词 安全谓词就是将谓词函数绑定到表里面,RLS提供了两种安全谓词:过滤谓词和阻止谓词。过滤谓词就是在使用SELECT,UPDATE,和 DELETE语句查询数据时只是过滤数据但是不会报错。而阻止谓词就是在使用违反谓词逻辑的数据时,显示地报错并且阻止用户使用 AFTER INSERT,AFTER UPDATE,BEFORE UPDATE,BEFORE DELETE 等操作。 安全策略 安全策略对象专门为行级别安全创建,分组所有涉及谓词函数的安全谓词。 实例 实例中我们创建一个Person表和测试数据,最后我们让不懂得用户访问各自部门的信息,代码如下: (PersonId <span style="color: #0000ff">INT <span style="color: #ff00ff">IDENTITY(<span style="color: #800000; font-weight: bold">1,<span style="color: #800000; font-weight: bold">1<span style="color: #000000">),PersonName <span style="color: #0000ff">varchar(<span style="color: #800000; font-weight: bold">100<span style="color: #000000">),Department <span style="color: #0000ff">varchar(<span style="color: #800000; font-weight: bold">100<span style="color: #000000">),Salary <span style="color: #0000ff">INT<span style="color: #000000">,User_Access <span style="color: #0000ff">varchar(<span style="color: #800000; font-weight: bold">50<span style="color: #000000">)) <span style="color: #0000ff">GO <span style="color: #0000ff">INSERT <span style="color: #0000ff">INTO<span style="color: #000000"> Person (PersonName,Department,Salary,User_Access) <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Ankit<span style="color: #ff0000">',<span style="color: #ff0000">'<span style="color: #ff0000">CS<span style="color: #ff0000">',<span style="color: #800000; font-weight: bold">40000,<span style="color: #ff0000">'<span style="color: #ff0000">User_CS<span style="color: #ff0000">' <span style="color: #0000ff">UNION <span style="color: #808080">ALL <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Sachin<span style="color: #ff0000">',<span style="color: #ff0000">'<span style="color: #ff0000">EC<span style="color: #ff0000">',<span style="color: #800000; font-weight: bold">20000,<span style="color: #ff0000">'<span style="color: #ff0000">User_EC<span style="color: #ff0000">' <span style="color: #0000ff">UNION <span style="color: #808080">ALL <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Kapil<span style="color: #ff0000">',<span style="color: #800000; font-weight: bold">30000,<span style="color: #ff0000">'<span style="color: #ff0000">User_CS<span style="color: #ff0000">' <span style="color: #0000ff">UNION <span style="color: #808080">ALL <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Ishant<span style="color: #ff0000">',<span style="color: #ff0000">'<span style="color: #ff0000">IT<span style="color: #ff0000">',<span style="color: #800000; font-weight: bold">50000,<span style="color: #ff0000">'<span style="color: #ff0000">User_IT<span style="color: #ff0000">' <span style="color: #0000ff">UNION <span style="color: #808080">ALL <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Aditya<span style="color: #ff0000">',<span style="color: #800000; font-weight: bold">45000,<span style="color: #ff0000">'<span style="color: #ff0000">User_EC<span style="color: #ff0000">' <span style="color: #0000ff">UNION <span style="color: #808080">ALL <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Sunny<span style="color: #ff0000">',<span style="color: #800000; font-weight: bold">60000,<span style="color: #ff0000">'<span style="color: #ff0000">User_IT<span style="color: #ff0000">' <span style="color: #0000ff">UNION <span style="color: #808080">ALL <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Rohit<span style="color: #ff0000">',<span style="color: #800000; font-weight: bold">55000,<span style="color: #ff0000">'<span style="color: #ff0000">User_CS<span style="color: #ff0000">' <span style="color: #0000ff">GO 此时表已经被创建,并且插入了测试数据,执行下面语句检索有是有的记录: SELECT * FROM Person
正如所示,目前有三个部门department(CS,EC,IT),并且User_Access列表示各自的用户组。让我们创建三个测试用户数据的账户语句如下: <span style="color: #0000ff">CREATE <span style="color: #ff00ff">USER<span style="color: #000000"> User_CS WITHOUT LOGIN<span style="color: #008080">--<span style="color: #008080">For EC department <span style="color: #0000ff">CREATE <span style="color: #ff00ff">USER<span style="color: #000000"> User_EC WITHOUT LOGIN <span style="color: #008080">--<span style="color: #008080"> For IT Department <span style="color: #0000ff">CREATE <span style="color: #ff00ff">USER User_IT WITHOUT LOGIN 在创建了用户组以后,授权读取权限给上面是哪个新建的用户,执行语句如下: <span style="color: #0000ff">GRANT <span style="color: #0000ff">SELECT <span style="color: #0000ff">ON Person <span style="color: #0000ff">TO<span style="color: #000000"> User_CS<span style="color: #0000ff">GRANT <span style="color: #0000ff">SELECT <span style="color: #0000ff">ON Person <span style="color: #0000ff">TO<span style="color: #000000"> User_EC <span style="color: #0000ff">GRANT <span style="color: #0000ff">SELECT <span style="color: #0000ff">ON Person <span style="color: #0000ff">TO User_IT 现在我们创建一个谓词函数,该函数是对于查询用户是不可见的。 <span style="color: #0000ff">CREATE <span style="color: #0000ff">FUNCTION<span style="color: #000000"> dbo.PersonPredicate( <span style="color: #008000">@User_Access <span style="color: #0000ff">AS <span style="color: #0000ff">varchar(<span style="color: #800000; font-weight: bold">50<span style="color: #000000">) ) <span style="color: #0000ff">RETURNS <span style="color: #0000ff">TABLE <span style="color: #0000ff">WITH<span style="color: #000000"> SCHEMABINDING <span style="color: #0000ff">AS <span style="color: #0000ff">RETURN <span style="color: #0000ff">SELECT <span style="color: #800000; font-weight: bold">1 <span style="color: #0000ff">AS<span style="color: #000000"> AccessRight <span style="color: #0000ff">WHERE <span style="color: #008000">@User_Access <span style="color: #808080">= <span style="color: #ff00ff">USER_NAME<span style="color: #000000">() <span style="color: #0000ff">GO 这个函数是只返回行,如果正在执行查询的用户的名字与User_Access 列匹配,那么用户允许访问指定的行。在创建该函数后,还需要创建一个安全策略,使用上面的谓词函数PersonPredicate来对表进行过滤逻辑的绑定,脚本如下: <span style="color: #0000ff">CREATE <span style="color: #000000"> SECURITY POLICY PersonSecurityPolicy <span style="color: #0000ff">ADD FILTER PREDICATE dbo.PersonPredicate(User_Access) <span style="color: #0000ff">ON<span style="color: #000000"> dbo.Person<span style="color: #0000ff">WITH (STATE <span style="color: #808080">= <span style="color: #0000ff">ON) State(状态)为ON才能是策略生效,如果打算关闭策略,你可以改变状态为OFF。 再来看一下查询结果:
这次查询没有返回任何行,这意味着谓词函数的定义和策略的创建后,用户查询需要具有相应权限才能返回行,接下来使用不同用户来查询这个数据,首先,我们用用户User_CS来查询一下结果: <span style="color: #0000ff">SELECT <span style="color: #808080">* <span style="color: #0000ff">FROM<span style="color: #000000"> dbo.PersonREVERT
正如所示,我们看到只有三行数据数据该用户,User_CS,已经检索出来。因此,过滤函数将其他不属于该用户组的数据过滤了。 实际上这个查询执行的过程就是数据库内部调用谓词函数,如下所示: SELECT * FROM dbo.Person WHERE User_Name() = 'User_CS' 其他两组用户的查询结果是相似的这里就不一一演示了。 因此,我们能看到执行查询根据用的不同得到只属于指定用户组的指定数据。这就是我们要达成的目的。 到目前为止,我们已经演示了过滤谓词,接下来我们演示一下如何阻止谓词。执行如下语句来授权DML操作权限给用户。 <span style="color: #0000ff">GRANT <span style="color: #0000ff">INSERT,<span style="color: #0000ff">UPDATE,<span style="color: #0000ff">DELETE <span style="color: #0000ff">ON Dbo.Person <span style="color: #0000ff">TO<span style="color: #000000"> User_CS<span style="color: #0000ff">GRANT <span style="color: #0000ff">INSERT,<span style="color: #0000ff">DELETE <span style="color: #0000ff">ON Dbo.Person <span style="color: #0000ff">TO<span style="color: #000000"> User_EC <span style="color: #0000ff">GRANT <span style="color: #0000ff">INSERT,<span style="color: #0000ff">DELETE <span style="color: #0000ff">ON Dbo.Person <span style="color: #0000ff">TO User_IT 我们用用户User_IT执行插入语句,并且插入用户组为UserCS的,语句如下: <span style="color: #0000ff">INSERT <span style="color: #0000ff">INTO<span style="color: #000000"> Person (PersonName,User_Access) <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Soniya<span style="color: #ff0000">',<span style="color: #800000; font-weight: bold">35000,<span style="color: #ff0000">'<span style="color: #ff0000">User_CS<span style="color: #ff0000">'<span style="color: #000000">REVERT but,竟然没有报错,插入成功了。 让我们在检查一下用户数据插入的情况: <span style="color: #0000ff">SELECT <span style="color: #808080">* <span style="color: #0000ff">FROM<span style="color: #000000"> dbo.PersonREVERT 奇怪,新插入行并没有插入到该用户组'User_IT'中。而是出现在了'User_CS' 的用户组数据中。 <span style="color: #0000ff">EXECUTE <span style="color: #0000ff">AS <span style="color: #ff00ff">USER <span style="color: #808080">= <span style="color: #ff0000">'<span style="color: #ff0000">User_CS<span style="color: #ff0000">'<span style="color: #0000ff">SELECT <span style="color: #808080">* <span style="color: #0000ff">FROM<span style="color: #000000"> dbo.Person REVERT
通过上面的例子我们发现,过滤谓词不不会阻止用户插入数据,因此没有错误,这是因为没有在安全策略中定义阻止谓词。让我们加入阻止谓词来显示报错,有四个阻止谓词AFTER INSERT,和 BEFORE DELETE可以使用。我们这里测试使用AFTER INSERT 谓词。这个谓词阻止用户插入记录到没有权限查看的数据用户组。 添加谓词阻止的安全策略,代码如下: <span style="color: #0000ff">ALTER <span style="color: #000000"> SECURITY POLICY PersonSecurityPolicy <span style="color: #0000ff">ADD<span style="color: #000000"> BLOCK PREDICATE dbo.PersonPredicate(User_Access)<span style="color: #0000ff">ON dbo.Person AFTER <span style="color: #0000ff">INSERT 现在我们用之前类似代码再试一下,是否可以插入数据: <span style="color: #0000ff">INSERT <span style="color: #0000ff">INTO<span style="color: #000000"> Person (PersonName,User_Access) <span style="color: #0000ff">SELECT <span style="color: #ff0000">'<span style="color: #ff0000">Sumit<span style="color: #ff0000">',<span style="color: #ff0000">'<span style="color: #ff0000">User_IT<span style="color: #ff0000">'<span style="color: #000000">REVERT
? 擦,果然这次错误出提示出现了,阻止了不同权限用户的插入。因此我们能说通过添加阻止谓词,未授权用户的DML操作被限制了。 注意:在例子中每个部门只有一个用户组成。如果在一个部门包含多个用户的情况下,我们需要创建分支登录为每个用户都分配需要的权限,因为谓词函数应用于用户基础并且安全策略取决于谓词函数。 ? 行级别安全的限制这里有几个行级别安全的限制:
总结 带有行级别安全功能的SQLServer2016,我们可以不通过应用程序级别的代码修改来实现数据记录的权限控制。行级别安全通过使用谓词函数和安全策略实现,不需要修改各种DML代码,伴随着现有代码即可实现。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
