導讀:Oracle 10g的可用性較之前的版本有很大程度的提高。虛擬專用數據庫的工作方法是,通過透明地更改對數據的請求,基於一系列定義的標准向用戶提供表的局部視圖。在運行時,所有查詢都附加了謂詞,以便篩選出准許用戶看到的行。例如,如果只允許用戶查看帳戶管理員SCOTT的帳戶,則 VPD 設置自動地將查詢:
select * from accounts;
重寫為:
select * from accounts
where am_name = "SCOTT";
DBA 在表 ACCOUNTS 上設置了一項安全策略。該策略具有一個相關函數,稱為policyn,它返回一個用作謂詞的字符串where am_name = "SCOTT"。如果您不熟悉該特性的全部功能,我建議您閱讀 Oracle雜志的文章“利用 VPD保持信息的私密性”。
策略類型
生成謂詞所需的重復分析是一種在某些情況下可以進行修整的開銷。例如,在大部分實際情況中,謂詞並不象 am_name="SCOTT"那樣是靜態的;它基於用戶的身份、用戶的權限級別、用戶向哪個帳戶管理員進行報告等情況,可能更具有動態性。由策略函數創建並返回的字符串可能會具有很強的動態性,而為了保證其結果,Oracle必須每次重新執行策略函數,既浪費資源又降低性能。在這種類型的策略中,謂詞每次執行時可能會有很大的差別,該策略稱為“動態”策略,在Oracle9i數據庫以及以前的版本中已經提供了這種策略。
除了保留動態策略之外,Oracle 數據庫10g還基於謂詞的構造推出了幾種新類型的策略,為提高性能提供了更好的控制:context_sensitive、shared_context_sensitive、shared_static和static。現在,讓我們來了解每種策略類型的意義以及如何在適當的場合中使用它們。
動態策略。 為保持向後兼容性,10g 中的默認策略類型為“dynamic” — 正如Oracle9i中一樣。在這種情況下,對於每行以及每位用戶,在每次訪問表時都對策略函數進行重新求值。讓我們來詳細分析策略謂詞:
where am_name = "SCOTT"
忽略掉 where 子句,謂詞就具有兩個不同的部分:在等式操作符之前的部分 (am_name)和等式操作符之後的部分("SCOTT")。在大多數情況下,後面的部分更象是變量,因為它是由用戶的數據提供的(如果用戶是SCOTT,則其值為"SCOTT")。在等號前面的部分是靜態的。因此,即使函數不必為生成適當的謂詞而對每行求出策略函數的值,由於了解前面部分的靜態性以及後面部分的動態性,也可以提高性能。在10g中,可以在 dbms_rls.add_policy 調用中使用"context_sensitive"類型的策略作為參數來實現這種方法。
很高興與大家分享,希望上文中講到的內容對大家能夠有所幫助。