19:高级安全性-虚拟专用数据库VPD（Virtural Private Database)

 

1：总体概括: 从名称上理解，VPD像是某种特殊功能的库或表，例如临时表。但VPD的实质更像是设计模式中的AOP，专注于安全方面的AOP机制。库还是一般的库，表也是一般的表，只是在运行过程中，通过切面注入一些信息、动态增加一些过虑条件。如下图：

 

2：VPD可以对表、视图、同意词三种对像进行安全控制，数据粒度可以到行和列。而安全策略可以应用到select、insert、update、index和delete操作。

 

3:数据安全性控制方式：附了VPD,oracle的解发器和view都可以进行数据行及列方面的安全控制。VPD的特点是更加灵活及细粒度。

 

4:设置过程：用Create context指定初始化上下文存储过程的包名->创建初始化上下文存储过程(dbms_session、sys_context)->写触发器，使用户登录数据库时初始化上下文->创建安全策略（存储过程）->把安全策略绑定到表及操作中(dbms_rls)。

 

5:实践经验：工作这几年，开发的系统一般都是把数据源配置到单个数据库用户中。而数据的安全性都是通过程序控制。用到VPD的机会还不多。但VPD应该是80/20中的20，不常用，但如果用上了，它会很优雅地解决问题。