背景
假如我們有關鍵數據存儲在一個表里面,比如人員表中包含員工、部門和薪水信息。只允許用戶訪問各自部門的信息,但是不能訪問其他部門。一般我們都是在程序端實現這個功能,而在sqlserver2016以后也可以直接在數據庫端實現這個功能。
解決
安全已經是一個數據方面的核心問題,每一代的MS數據庫都有關於安全方面的新功能,那么在Sql Server 2016,也有很多這方面的升級,比如‘Row Level Security’, ‘Always Encrypted’, ‘Dynamic Data Masking’, 和‘Enhancement of Transparent Data Encryption’ 等等都會起到安全方面的作用。本篇我將介紹關於Row Level Security (RLS--行級別安全), 能夠控制表中行的訪問權限。RLS 能使我們根據執行查詢人的屬性來控制基礎數據,從而幫助我們容易地為不同用戶提透明的訪問數據。行級安全性使客戶能夠根據執行查詢的用戶的特性控制數據庫中的行。
為了實現RLS我們需要准備下面三個方面:
- 謂詞函數
- 安全謂詞
- 安全策略
逐一描述上面三個方面
謂詞函數
謂詞函數是一個內置的表值函數,用於檢查用戶執行的查詢訪問數據是否基於其邏輯定義。這個函數返回一個1來表示用戶可以訪問。
安全謂詞
安全謂詞就是將謂詞函數綁定到表里面,RLS提供了兩種安全謂詞:過濾謂詞和阻止謂詞。過濾謂詞就是在使用SELECT, UPDATE, 和 DELETE語句查詢數據時只是過濾數據但是不會報錯。而阻止謂詞就是在使用違反謂詞邏輯的數據時,顯示地報錯並且阻止用戶使用 AFTER INSERT, AFTER UPDATE, BEFORE UPDATE, BEFORE DELETE 等操作。
安全策略
安全策略對象專門為行級別安全創建,分組所有涉及謂詞函數的安全謂詞。
實例
實例中我們創建一個Person表和測試數據,最后我們讓不懂得用戶訪問各自部門的信息,代碼如下:
Create table dbo.Person ( PersonId INT IDENTITY(1,1), PersonName varchar(100), Department varchar(100), Salary INT, User_Access varchar(50) ) GO INSERT INTO Person (PersonName, Department, Salary, User_Access) SELECT 'Ankit', 'CS', 40000, 'User_CS' UNION ALL SELECT 'Sachin', 'EC', 20000, 'User_EC' UNION ALL SELECT 'Kapil', 'CS', 30000, 'User_CS' UNION ALL SELECT 'Ishant', 'IT', 50000, 'User_IT' UNION ALL SELECT 'Aditya', 'EC', 45000, 'User_EC' UNION ALL SELECT 'Sunny', 'IT', 60000, 'User_IT' UNION ALL SELECT 'Rohit', 'CS', 55000, 'User_CS' GO
此時表已經被創建,並且插入了測試數據,執行下面語句檢索有是有的記錄:
SELECT * FROM Person
正如所示,目前有三個部門department(CS,EC,IT),並且User_Access列表示各自的用戶組。讓我們創建三個測試用戶數據的賬戶語句如下:
--For CS department CREATE USER User_CS WITHOUT LOGIN --For EC department CREATE USER User_EC WITHOUT LOGIN -- For IT Department CREATE USER User_IT WITHOUT LOGIN
在創建了用戶組以后,授權讀取權限給上面是哪個新建的用戶,執行語句如下:
---授予select權限給所有的用戶 GRANT SELECT ON Person TO User_CS GRANT SELECT ON Person TO User_EC GRANT SELECT ON Person TO User_IT
現在我們創建一個謂詞函數,該函數是對於查詢用戶是不可見的。
----Create function CREATE FUNCTION dbo.PersonPredicate ( @User_Access AS varchar(50) ) RETURNS TABLE WITH SCHEMABINDING AS RETURN SELECT 1 AS AccessRight WHERE @User_Access = USER_NAME() GO
這個函數是只返回行,如果正在執行查詢的用戶的名字與User_Access 列匹配,那么用戶允許訪問指定的行。在創建該函數后,還需要創建一個安全策略,使用上面的謂詞函數PersonPredicate來對表進行過濾邏輯的綁定,腳本如下:
--安全策略 CREATE SECURITY POLICY PersonSecurityPolicy ADD FILTER PREDICATE dbo.PersonPredicate(User_Access) ON dbo.Person WITH (STATE = ON)
State(狀態)為ON才能是策略生效,如果打算關閉策略,你可以改變狀態為OFF。
再來看一下查詢結果:
這次查詢沒有返回任何行,這意味着謂詞函數的定義和策略的創建后,用戶查詢需要具有相應權限才能返回行,接下來使用不同用戶來查詢這個數據,首先,我們用用戶User_CS來查詢一下結果:
EXECUTE AS USER = 'User_CS' SELECT * FROM dbo.Person REVERT
正如所示,我們看到只有三行數據數據該用戶,User_CS,已經檢索出來。因此,過濾函數將其他不屬於該用戶組的數據過濾了。
實際上這個查詢執行的過程就是數據庫內部調用謂詞函數,如下所示:
SELECT * FROM dbo.Person
WHERE User_Name() = 'User_CS'
其他兩組用戶的查詢結果是相似的這里就不一一演示了。
因此,我們能看到執行查詢根據用的不同得到只屬於指定用戶組的指定數據。這就是我們要達成的目的。
到目前為止,我們已經演示了過濾謂詞,接下來我們演示一下如何阻止謂詞。執行如下語句來授權DML操作權限給用戶。
--授權DML 權限 GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_CS GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_EC GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_IT
我們用用戶User_IT執行插入語句,並且插入用戶組為UserCS的,語句如下:
EXECUTE AS USER = 'User_IT' INSERT INTO Person (PersonName, Department, Salary, User_Access) SELECT 'Soniya', 'CS', 35000, 'User_CS' REVERT
but,竟然沒有報錯,插入成功了。
讓我們在檢查一下用戶數據插入的情況:
EXECUTE AS USER = 'User_IT' SELECT * FROM dbo.Person REVERT
奇怪,新插入行並沒有插入到該用戶組'User_IT'中。而是出現在了'User_CS' 的用戶組數據中。
--插入數據出現在了不同的用戶組 EXECUTE AS USER = 'User_CS' SELECT * FROM dbo.Person REVERT
通過上面的例子我們發現,過濾謂詞不不會阻止用戶插入數據,因此沒有錯誤,這是因為沒有在安全策略中定義阻止謂詞。讓我們加入阻止謂詞來顯示報錯,有四個阻止謂詞AFTER INSERT, AFTER UPDATE, BEFORE UPDATE, 和 BEFORE DELETE可以使用。我們這里測試使用AFTER INSERT 謂詞。這個謂詞阻止用戶插入記錄到沒有權限查看的數據用戶組。
添加謂詞阻止的安全策略,代碼如下:
--添加阻止謂詞 ALTER SECURITY POLICY PersonSecurityPolicy ADD BLOCK PREDICATE dbo.PersonPredicate(User_Access) ON dbo.Person AFTER INSERT
現在我們用之前類似代碼再試一下,是否可以插入數據:
EXECUTE AS USER = 'User_CS' INSERT INTO Person (PersonName, Department, Salary, User_Access) SELECT 'Sumit', 'IT', 35000, 'User_IT' REVERT
擦,果然這次錯誤出提示出現了,阻止了不同權限用戶的插入。因此我們能說通過添加阻止謂詞,未授權用戶的DML操作被限制了。
注意:在例子中每個部門只有一個用戶組成。如果在一個部門包含多個用戶的情況下,我們需要創建分支登錄為每個用戶都分配需要的權限,因為謂詞函數應用於用戶基礎並且安全策略取決於謂詞函數。
行級別安全的限制
這里有幾個行級別安全的限制:
- 謂詞函數一定要帶有WITH SCHEMABINDING關鍵詞,如果函數沒有該關鍵字則綁定安全策略時會拋出異常。
- 在實施了行級別安全的表上不能創建索引視圖。
- 內存數據表不支持
- 全文索引不支持
總結
帶有行級別安全功能的SQLServer2016,我們可以不通過應用程序級別的代碼修改來實現數據記錄的權限控制。行級別安全通過使用謂詞函數和安全策略實現,不需要修改各種DML代碼,伴隨着現有代碼即可實現。