SQL Server 2016 行級別權限控制

背景

假如咱們有關鍵數據存儲在一個表裏面，好比人員表中包含員工、部門和薪水信息。只容許用戶訪問各自部門的信息，可是不能訪問其餘部門。通常咱們都是在程序端實現這個功能，而在sqlserver2016之後也能夠直接在數據庫端實現這個功能。

解決

安全已是一個數據方面的核心問題，每一代的MS數據庫都有關於安全方面的新功能，那麼在Sql Server 2016,也有不少這方面的升級，好比‘Row Level Security’, ‘Always Encrypted’, ‘Dynamic Data Masking’, 和‘Enhancement of Transparent Data Encryption’ 等等都會起到安全方面的做用。本篇我將介紹關於Row Level Security (RLS--行級別安全), 可以控制表中行的訪問權限。RLS 能使咱們根據執行查詢人的屬性來控制基礎數據，從而幫助咱們容易地爲不一樣用戶提透明的訪問數據。行級安全性使客戶可以根據執行查詢的用戶的特性控制數據庫中的行。

爲了實現RLS咱們須要準備下面三個方面:

1. 謂詞函數
2. 安全謂詞
3. 安全策略

逐一描述上面三個方面

謂詞函數

謂詞函數是一個內置的表值函數，用於檢查用戶執行的查詢訪問數據是否基於其邏輯定義。這個函數返回一個1來表示用戶能夠訪問。

安全謂詞

安全謂詞就是將謂詞函數綁定到表裏面，RLS提供了兩種安全謂詞：過濾謂詞和阻止謂詞。過濾謂詞就是在使用SELECT, UPDATE, 和 DELETE語句查詢數據時只是過濾數據可是不會報錯。而阻止謂詞就是在使用違反謂詞邏輯的數據時，顯示地報錯而且阻止用戶使用 AFTER INSERT, AFTER UPDATE, BEFORE UPDATE, BEFORE DELETE 等操做。

安全策略

安全策略對象專門爲行級別安全建立，分組全部涉及謂詞函數的安全謂詞。

實例

實例中咱們建立一個Person表和測試數據，最後咱們讓不懂得用戶訪問各自部門的信息，代碼以下:

Create table dbo.Person

(

PersonId INT IDENTITY(1,1),

PersonName varchar(100),

Department varchar(100),

Salary INT,

User_Access varchar(50)

)

GO

INSERT INTO Person (PersonName, Department, Salary, User_Access)

SELECT 'Ankit', 'CS', 40000, 'User_CS'

UNION ALL

SELECT 'Sachin', 'EC', 20000, 'User_EC'

UNION ALL

SELECT 'Kapil', 'CS', 30000, 'User_CS'

UNION ALL

SELECT 'Ishant', 'IT', 50000, 'User_IT'

UNION ALL

SELECT 'Aditya', 'EC', 45000, 'User_EC'

UNION ALL

SELECT 'Sunny', 'IT', 60000, 'User_IT'

UNION ALL

SELECT 'Rohit', 'CS', 55000, 'User_CS'

GO

 

 

此時表已經被建立，而且插入了測試數據，執行下面語句檢索有是有的記錄:

SELECT * FROM Person

正如所示，目前有三個部門department（CS,EC,IT），而且User_Access列表示各自的用戶組。讓咱們建立三個測試用戶數據的帳戶語句以下：

--For CS department

CREATE USER User_CS WITHOUT LOGIN

--For EC department

CREATE USER User_EC WITHOUT LOGIN

-- For IT Department

CREATE USER User_IT WITHOUT LOGIN

 

在建立了用戶組之後，受權讀取權限給上面是哪一個新建的用戶，執行語句以下:

---授予select權限給全部的用戶

GRANT SELECT ON Person TO User_CS

GRANT SELECT ON Person TO User_EC

GRANT SELECT ON Person TO User_IT

 

如今咱們建立一個謂詞函數，該函數是對於查詢用戶是不可見的。

----Create function

CREATE FUNCTION dbo.PersonPredicate

( @User_Access AS varchar(50) )

RETURNS TABLE

WITH SCHEMABINDING

AS

RETURN SELECT 1 AS AccessRight

WHERE @User_Access = USER_NAME()

GO

 

 

這個函數是隻返回行，若是正在執行查詢的用戶的名字與User_Access 列匹配，那麼用戶容許訪問指定的行。在建立該函數後，還須要建立一個安全策略，使用上面的謂詞函數PersonPredicate來對錶進行過濾邏輯的綁定，腳本以下:

--安全策略

CREATE SECURITY POLICY PersonSecurityPolicy

ADD FILTER PREDICATE dbo.PersonPredicate(User_Access) ON dbo.Person

WITH (STATE = ON)

 

 

State（狀態）爲ON才能是策略生效，若是打算關閉策略，你能夠改變狀態爲OFF。

再來看一下查詢結果：

此次查詢沒有返回任何行，這意味着謂詞函數的定義和策略的建立後，用戶查詢須要具備相應權限才能返回行，接下來使用不一樣用戶來查詢這個數據，首先，咱們用用戶User_CS來查詢一下結果:

EXECUTE AS USER = 'User_CS'

SELECT * FROM dbo.Person

REVERT

 

 

正如所示，咱們看到只有三行數據數據該用戶，User_CS，已經檢索出來。所以，過濾函數將其餘不屬於該用戶組的數據過濾了。

實際上這個查詢執行的過程就是數據庫內部調用謂詞函數，以下所示:

SELECT * FROM dbo.Person

WHERE User_Name() = 'User_CS'

其餘兩組用戶的查詢結果是類似的這裏就不一一演示了。

所以，咱們能看到執行查詢根據用的不一樣獲得只屬於指定用戶組的指定數據。這就是咱們要達成的目的。

到目前爲止，咱們已經演示了過濾謂詞，接下來咱們演示一下如何阻止謂詞。執行以下語句來受權DML操做權限給用戶。

--受權DML 權限

GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_CS

GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_EC

GRANT INSERT, UPDATE, DELETE ON Dbo.Person TO User_IT

 

咱們用用戶User_IT執行插入語句，而且插入用戶組爲UserCS的，語句以下：

EXECUTE AS USER = 'User_IT'

INSERT INTO Person (PersonName, Department, Salary, User_Access)

SELECT 'Soniya', 'CS', 35000, 'User_CS'

REVERT

 

but，居然沒有報錯，插入成功了。

讓咱們在檢查一下用戶數據插入的狀況：

EXECUTE AS USER = 'User_IT'

SELECT * FROM dbo.Person

REVERT

 

奇怪，新插入行並無插入到該用戶組'User_IT'中。而是出如今了'User_CS' 的用戶組數據中。

--插入數據出如今了不一樣的用戶組

EXECUTE AS USER = 'User_CS'

SELECT * FROM dbo.Person

REVERT

 

經過上面的例子咱們發現，過濾謂詞不不會阻止用戶插入數據，所以沒有錯誤，這是由於沒有在安全策略中定義阻止謂詞。讓咱們加入阻止謂詞來顯示報錯，有四個阻止謂詞AFTER INSERT, AFTER UPDATE, BEFORE UPDATE, 和 BEFORE DELETE可使用。咱們這裏測試使用AFTER INSERT 謂詞。這個謂詞阻止用戶插入記錄到沒有權限查看的數據用戶組。

添加謂詞阻止的安全策略，代碼以下:

--添加阻止謂詞

ALTER SECURITY POLICY PersonSecurityPolicy

ADD BLOCK PREDICATE dbo.PersonPredicate(User_Access)

ON dbo.Person AFTER INSERT

 

如今咱們用以前相似代碼再試一下，是否能夠插入數據:

EXECUTE AS USER = 'User_CS'

INSERT INTO Person (PersonName, Department, Salary, User_Access)

SELECT 'Sumit', 'IT', 35000, 'User_IT'

REVERT

 

 

擦，果真此次錯誤出提示出現了，阻止了不一樣權限用戶的插入。所以咱們能說經過添加阻止謂詞，未受權用戶的DML操做被限制了。

注意：在例子中每一個部門只有一個用戶組成。若是在一個部門包含多個用戶的狀況下，咱們須要建立分支登陸爲每一個用戶都分配須要的權限，由於謂詞函數應用於用戶基礎而且安全策略取決於謂詞函數。

 

行級別安全的限制

這裏有幾個行級別安全的限制：

1. 謂詞函數必定要帶有WITH SCHEMABINDING關鍵詞，若是函數沒有該關鍵字則綁定安全策略時會拋出異常。
2. 在實施了行級別安全的表上不能建立索引視圖。
3. 內存數據表不支持
4. 全文索引不支持

總結

帶有行級別安全功能的SQLServer2016,咱們能夠不經過應用程序級別的代碼修改來實現數據記錄的權限控制。行級別安全經過使用謂詞函數和安全策略實現，不須要修改各類DML代碼，伴隨着現有代碼便可實現。