Điều này đang lảo đảo theo hướng RBAC - kiểm soát truy cập dựa trên vai trò. Bạn cũng có thể thắc mắc về việc có nên sử dụng điều khiển truy cập dựa trên nhãn LBAC hay không. Và, tùy thuộc vào DBMS của bạn, có thể có những cách khác để đạt được nó (xem xét Oracle VPD - cơ sở dữ liệu riêng ảo - ví dụ). Tất cả điều này là DBMS cụ thể hoặc rất cụ thể - các giải pháp khác nhau cho các DBMS khác nhau.
Dường như bạn đang nói về kiểm soát ở cấp độ hàng. Nghĩa là, một hàng trong bảng liên lạc có thể truy cập được với tất cả mọi người, trong khi một hàng khác chỉ có thể truy cập vào một bộ phận, một nhóm khác chỉ có thể truy cập vào một nhóm người, v.v.
Hãy nhớ rằng DBMS quan hệ hoạt động tốt nhất với các bộ. Một nhóm duy nhất là một nhóm các nhóm với một nhóm thành viên; một người dùng là tập hợp các nhóm với một người dùng thành viên. Điều này có nghĩa là chúng tôi có ít trường hợp hơn để giải quyết.
Nếu bạn muốn thực hiện nó trong SQL tiêu chuẩn, thì tôi nghĩ bạn sẽ cần phải sử dụng kết hợp các khung nhìn khai thác các kết nối với bảng điều khiển, vv Các phần cứng với hệ thống như vậy đang đặt các bảng điều khiển và hạn chế người dùng quản trị (thực ra, quản trị viên hạn chế luôn là một trong những phần cứng).
Kỹ thuật cơ bản sẽ là:
- Tạo bảng cơ sở với một cột thích hợp để xác định các thiết lập đặc quyền mà áp dụng cho mỗi hàng trong bảng.
- Thu hồi tất cả quyền truy cập công khai vào bảng.
- Tạo chế độ xem trên bảng cơ sở hiển thị tất cả các cột từ bảng cơ sở được phép. Nó sẽ là một khung nhìn kết nối với một bảng điều khiển, được định nghĩa trong giây lát. Các điều kiện truy vấn xem cũng sẽ được điều chỉnh bởi người dùng hiện tại.
- Cấp quyền truy cập thích hợp cho chế độ xem.
- Tạo các trình kích hoạt INSTEAD OF phù hợp trên giao diện để xử lý chèn, xóa và cập nhật các thao tác trên khung nhìn, chuyển tiếp các thay đổi tới bảng cơ sở.
- Tạo bảng điều khiển để kết hợp với bảng cơ sở.
- Điền dữ liệu đó vào dữ liệu thích hợp.
- Giấy cảm ứng màu xanh nhạt và đứng lưng lại.
Bây giờ, về điều đó khi tham gia cột và bảng điều khiển ...
Ai đó phải xác định những điều khoản áp dụng đối với hàng mới được chèn vào trong bảng - truy cập mặc định cung cấp là gì. Và ai đó phải xác định cách truy cập mặc định có thể bị ghi đè. Cả hai đều có thể lộn xộn.
Có một số cách để cấu trúc bảng điều khiển:
Một cơ chế dựa trên mỗi hàng trong bảng cơ sở có một ID duy nhất (mà có thể là một ID được tạo ra tự động hoặc chỉ giá trị của khóa chính). Bảng điều khiển sau đó bao gồm một bản sao của ID duy nhất đó và xác định người dùng hoặc nhóm nào có thể truy cập nó. Điều này có nghĩa là có thể có nhiều mục nhập trong bảng điều khiển cho một hàng nhất định, một cho mỗi người dùng hoặc nhóm có thể truy cập hàng. Trong lược đồ này, bảng điều khiển có khóa ngoài tham chiếu đến bảng cơ sở.
Cơ chế khác nhúng số ID vào bảng cơ sở là khóa ngoài cho (các) bảng điều khiển. Về cơ bản nó xác định một tập các đặc quyền, và tham chiếu trong bảng cơ sở có nghĩa là hàng có quyền truy cập được kết hợp với ID điều khiển truy cập. Cấu trúc phía sau bảng điều khiển có thể là ID 0 không có quyền truy cập cho bất kỳ ai (thông qua chế độ xem), ID 1 có quyền truy cập cho mọi người và các giá trị khác chỉ định kết hợp người dùng và nhóm - mỗi kết hợp khác nhau có ID khác nhau. Với điều này, có thể có một vài bảng trong bộ bảng điều khiển - và chúng tôi cũng đang thảo luận về việc có một bộ các bảng điều khiển này cho mỗi bảng được bảo vệ.
Rõ ràng, việc truy cập vào bảng điều khiển bị hạn chế nghiêm trọng - nhưng cũng rất quan trọng đối với việc quản lý ai có thể xem nội dung gì.
Cả hai đều là những cơn ác mộng hành chính - đó là lý do tại sao bạn có thể kết thúc với một cơ chế kiểm soát truy cập do DBMS cung cấp chứ không phải là một giải pháp SQL chung.
Nguồn
2009-09-13 22:33:21
Bạn đã giải quyết được sự cố này? Tôi có vấn đề rất giống nhau và nó sẽ là tốt đẹp nếu bạn có thể nói như thế nào bạn giải quyết nó. Cảm ơn! – Orbitum