Sql Server 2016新功能之Row-Level Security(值得关注)

最新推荐文章于 2025-07-07 13:49:48 发布
转载 最新推荐文章于 2025-07-07 13:49:48 发布 · 440 阅读 · 0

本文介绍了SQL Server 2016的Row-Level Security功能,该功能通过对表添加过滤函数,让不同用户只能获取符合条件的数据,增加了数据安全性。还列举了该版本的其他新功能特性及重要改进,如PolyBase、AlwaysOn增强功能等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Sql Server 2016 有一个新功能叫 Row-Level Security ,大概意思是行版本的安全策略(原来我是个英语渣_(:з」∠)_)

直接上例子。这个功能相当通过对表添加一个函数作为过滤规则,使得拥有不同条件的用户(或者登录名) 之类的,只能获取到符合条件的数据。相对来说是提供了那么一点的便捷性,当然也增加了数据的安全性,相当于每个用户连接进来只能看到

符合规则的数据(当然,这里的用户只是一个举例。其实是可以通过编写过滤函数来实现的)

举个例子

有三个用户 Sales1 ,Sales 2 ,Manager 3个数据库用户,然后用一个Sales的表来寄存他们的订单记录

CREATE TABLE Sales

(

OrderID int,

SalesRep sysname,

Product varchar(10),

Qty int

);

INSERT Sales VALUES

(1, 'Sales1', 'Valve', 5),

(2, 'Sales1', 'Wheel', 2),

(3, 'Sales1', 'Valve', 4),

(4, 'Sales2', 'Bracket', 2),

(5, 'Sales2', 'Wheel', 5),

(6, 'Sales2', 'Seat', 5);

-- View the 6 rows in the table

SELECT * FROM Sales;

go

 

这是全部表的数据的截图

然后添加3个用户,分别就是Sales1 Sales2 Manager 3个用户,分别对他们的赋予Sales表的查询和删除(用于测试删除功能) 的权限。

CREATE USER Manager WITHOUT LOGIN;

CREATE USER Sales1 WITHOUT LOGIN;

CREATE USER Sales2 WITHOUT LOGIN;

GRANT SELECT,delete ON Sales TO Manager;

GRANT SELECT,delete ON Sales TO Sales1;

GRANT SELECT,delete ON Sales TO Sales2;

然后以下是这个功能的核心部分。首先我们创建一个过滤函数,然后将这个过滤函数添加到这个表的安全策略里面,就可以看到效果了。

函数逻辑很简单,传入一个@SalesRep 的名称,用于匹配当前的 User_Name。匹配了才返回数据

然后下面一行是创建了一个安全策略,并且在Sales 的表里面使用函数 fn_securitypredicate 作为表的筛选器。传入函数的参数选定为 SalesRep 字段(也就是我们建表的那个销售代表字段了)

CREATE FUNCTION fn_securitypredicate(@SalesRep AS sysname)

RETURNS TABLE

WITH SCHEMABINDING

AS

RETURN SELECT 1 AS fn_securitypredicate_result

WHERE @SalesRep = USER_NAME() OR USER_NAME() = 'Manager';

CREATE SECURITY POLICY SalesFilter

ADD FILTER PREDICATE dbo.fn_securitypredicate(SalesRep)

ON dbo.Sales

WITH (STATE = ON);

然后我们看下查询的结果

EXECUTE AS USER = 'Sales1';

SELECT * FROM Sales;

REVERT;

EXECUTE AS USER = 'Sales2';

SELECT * FROM Sales;

REVERT;

EXECUTE AS USER = 'Manager';

SELECT * FROM Sales;

REVERT;

效果就是这样,当然如果是要设置不同的过滤条件,设置不同的字段的时候,是可以通过上文的函数里面的代码和安全策略进行设置的。按照这个过滤情况,如果登录用户非Sales1 Sales2 Manager 3个其中之一,是什么都查询不了的。

另外,用户无法删除被过滤的数据。比方说 Sales1 不能删除或修改OrderID = 3 的数据。

RLS的出现也是能帮助我们减轻一定功能上面的实现的~

PS:下面看下SQL Server 2016新功能特性

1、PolyBase:更简单高效的管理关系型和非关系型的T-SQL数据;

2、AlwaysOn增强功能:实现高可用和性能次之,包括高达3个同步复制、DTC支持和次级的Round-Robin负载均衡;

3、Row Level Security(层级安全性控管):让客户基于用户特征控制数据访问,功能已内置至数据中,无须再修改应用;

4、Dynamic Data Masking(动态数据屏蔽):有助于保护未被加密的数据;

5、原生JSON支持:实现轻松解析和存储,以及输出关系型数据;

6、Temporal数据库支持:可跟踪历史数据变化;

7、数据历史记录查询,以便DBA可精确定位;

8、MDS增强功:提供主数据服务器的服务器管理能力;

9、增强的Azure混合备份功能:在Azure虚拟机中可实现更快的备份和恢复。

重要改进:

1、始终加密(Always Encrypted)

数据的存储和使用都将采用由微软研究院所开发的技术进行加密;

2、弹性数据库(Stretch Database)

SQL Server用户将能够把数据动态延伸至Microsoft Azure,以便增强其性能;

3、实时业务分析与内存中联机事务处理(Real-time Operational Analytics & In-Memory OLTP)

该分析技术于2014年首次引入,现在已变得更加先进(更高的实时性能);

4、内置高级分析(Built-in Advanced Analytics)、PolyBase和Mobile BI

在SQL Server 2016上,数据分析和PolyBase等技术会更易使用。此外,Mobile BI将被用于移动设备上的图形展示。

以上所述是小编给大家介绍的Sql Server 2016新功能之Row-Level Security(值得关注),希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持!

行级安全(Row-Level Security
悦光阴的博客
01-17 650
常规的权限控制,是通过授予和拒绝(Grant/Deny)命令,控制用户对数据库对象(数据表或视图)的访问权限,用户访问的粒度是对象的全部数据行,这意味着,用户要么有权限访问该对象,要么没有权限访问该对象,无法实现使特定的数据行只允许特定的用户访问,但是,行级安全(Row-Level Security,简称 RLS)可以实现该该需求。 RLS根据用户的安全上下文控制用户可以访问的数据行。RLS主要...
SQL Server 2016新特性:行级别安全控制(Row-Level Security----RLS)
Burgess_Liu的专栏
06-02 2649
行级别安全控制(Row-Level Security----RLS)能够让我们根据用户执行查询的特性,来控制对数据库表中的数据行进行访问。RSL能够简化应用程序中安全的设计与编写代码,实现对数据行的访问限制。访问限制的逻辑位于数据库层,而不是在应用程序层分离数据。比如,我们希望各部门的经理只能查看他所在部门的员工的薪资情况,医院的护士只能查看自己所负责的病人的状况等。以往像要实现这样的功能,一般要
Superset1.3.2部分配置教程
Hi文的博客
12-24 4100
注意:superset官方文档说明不支持Windows系统,我开始使用Windows,后面在配置缩略图有错误。 OS:Ubuntu20.04 Superset:1.3.2 这是我在安装中遇到的问题及查询搜集的资料,一些问题的解决办法可能不适合你,但希望还是能够帮到需要的人。 一、安装注意事项 下面是一些我在安装过程中总结的一些需要注意的: pip install Pillow -i https://pypi.douban.com/simple # 如果不安装xlrd,页面数据列不会出现 上传Excel
PostgreSQL中的行级安全(Row-Level Security, RLS):精细化数据访问控制
最新发布
neweastsun的专栏
07-07 863
在数据库安全领域,**行级安全(Row-Level Security, RLS)** 是一种强大的机制,允许数据库管理员(DBA)或开发者定义细粒度的访问控制策略,确保用户只能访问或修改符合特定条件的数据行。通过本文,您将掌握如何在 PostgreSQL 中高效应用 RLS,提升数据安全性。
SQL Server安全(10/11):行级别安全(Row-Level Security
weixin_33938733的博客
04-11 355
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。 不像其它一些工业强度的数据库服务器。SQL Server对于单个数据记录,缺少内建机制,称作行级别安全(Row...
SQL优化经典案例----RLS(ROW LEVEL SECURITY)
mengxiangfeiyang的专栏
05-20 945
SQL优化经典案例----RLS(ROW LEVEL SECURITY)   ---转载http://blog.sina.com.cn/s/blog_61cd89f60102efd2.html     最近看到一个SQL优化牛人博客,上面例子堪称经典,唯一不足的时候,好多分析都是点到为止,并没有说其中的原理,有点像EYLE网站,不过这样也好,毕竟网上得来终觉浅,看过后自己进行分析
Row-Level Security & Dynamic Data Masking
09-26
行级安全性(Row-Level Security,简称 RLS)是 SQL Server 2016 及其后续版本引入的一个强大特性,旨在为数据库表中的特定行提供细粒度的访问控制。这一特性使得管理员能够更精确地控制哪些用户可以查看哪些数据,...
行级安全策略概览(Row-level Security
weixin_44957042的博客
05-28 1038
策略还可以使用安全定义功能。这在您希望限制对链接表的访问的多对多关系中非常有用。在上面的teams和members示例之后,本示例显示了如何将安全定义功能与策略结合使用,以控制对member表的访问。on members。
mysql row security_Sql Server 2016新功能Row-Level Security
weixin_29824417的博客
01-19 166
Sql Server 2016 有一个新功能Row-Level Security ,大概意思是行版本的安全策略(原来我是个英语渣_(:з」∠)_)直接上例子。这个功能相当通过对表添加一个函数作为过滤规则,使得拥有不同条件的用户(或者登录名) 之类的,只能获取到符合条件的数据。相对来说是提供了那么一点的便捷性,当然也增加了数据的安全性,相当于每个用户连接进来只能看到符合规则的数据(当然,这里的用...
ROW LEVEL SECURITY(RLS) 性能问题
weixin_30338497的博客
03-06 150
记得之前在HP 的时候,遇到一个ROW LEVEL SECURITY 的性能问题,当时也在优快云发了一个博客,不过因为涉及用户信息泄密,所以把博客删除了。最近一个网友也遇到RLS性能问题 ……petma19:58:06 我现在遇到一个比较郁闷的问题 ……petma19:59:23 是这样的,我们的系统,将用户分为了几类,每一类的权限策略是不一样的,然后数据查询的时候,我们先要...
superset根据用户筛选数据源(row level security)
qq_38765321的博客
09-03 1727
参考链接:https://github.com/apache/incubator-superset/pull/8699 centos系统下 0.36,0.37版本测试过,可以实现 步骤: 1、更新superset目录下 config.py 文件中 ENABLE_ROW_LEVEL_SECURITY=True 2、重新执行 superset init ...
mysql行级安全_SQL Server 2016:行级安全
weixin_30258621的博客
01-19 152
对于SQL Server,一个常见的批评是,其安全模型只能识别表和列。用户如果希望以行为单位应用安全规则,就需要使用存储过程或表值对于SQL Server,一个常见的批评是,其安全模型只能识别表和列。用户如果希望以行为单位应用安全规则,就需要使用存储过程或表值函数来模拟,然后找一种方法,确保它们不会被绕开。在SQL Server 2016中,那不再是个问题。实现SQL Server 2016(及S...
行级安全(Row-Level Security- 悦光阴 - 博客园
01-19 169
行级安全(Row-Level Security- 悦光阴 - 博客园 行级安全(Row-Level Security- 悦光阴 - 博客园 posted ...
保姆级——行级安全策略(RLS)使用教程
weixin_44957042的博客
05-29 1335
在使用的BaaS服务进行应用开发时,比较困扰开发者的是RLS的使用。本篇先从基本概念入手对RLS进行简要介绍,帮助大家理解RLS的工作机制和基本使用方法。全称:Row level security,行级安全,允许系统管理员为数据库表创建访问策略(policy),以约束数据的可见性。当为一个表创建了policy后,相当于为该表增加了一个高优先级的过滤器。当用户访问该表时,如果policy生效,则会根据policy中定义的过滤条件来决定用户可操作的数据集合。
技术贴 | 走进 PostgreSQL 行级安全策略
KaiwuDB 数据库
10-19 1720
行级安全(RLS,Row-Level Security)可控制用户访问数据库的查看权限,简化应用程序的设计和编码,帮助实现数据库行级数据的访问控制。每一次尝试访问数据,都会受到 RLS 的限制,RLS 使得数据库安全系统更加稳定、可靠、强大。RLS 主要的应用场景是可以确保不同的用户访问不同的数据内容。例如,针对公司员工信息,某部门组长只能访问与其部门相关的员工信息数据行,而 HR 可以访问整个公司所有员工的信息;
superset环境变量
04-03
<think>好的,我现在需要解决用户关于Apache Superset环境变量配置的问题。首先,我得回忆一下Superset的安装和配置流程,尤其是环境变量部分。根据用户提供的引用内容,特别是引用[3],里面提到了几个关键的环境变量,比如SUPERSET_CONFIG_PATH和FLASK_APP。这些变量在配置Superset时非常重要,因为它们指定了配置文件的路径和Flask应用的入口。 用户的问题集中在环境变量的配置说明上,所以我需要详细列出常用的环境变量,并解释每个变量的作用。首先,SUPERSET_CONFIG_PATH是必须的,它告诉Superset在哪里找到配置文件,这在自定义配置时很关键。然后,FLASK_APP设置为superset,这是启动Flask应用的必要步骤。接下来,可能还需要设置数据库连接,比如SUPERSET_DATABASE_URI,用于指定生产环境的数据库,避免使用默认的SQLite。 另外,用户提到的引用[2]中提到了使用conda环境来管理Python版本,这可能涉及到环境变量的设置,比如在激活conda环境时自动设置相关路径。不过用户的主要问题还是Superset本身的环境变量,所以需要聚焦在这里。 还需要考虑安全相关的变量,比如SUPERSET_SECRET_KEY,用于加密敏感信息。这个密钥必须足够复杂,并且不能泄露。此外,配置缓存或Celery任务队列时,可能需要设置REDIS_URL或其他相关变量。 接下来,我需要组织这些信息,确保每个环境变量都有明确的说明和示例。同时,要注意引用用户提供的资料,比如引用[3]中的初始化步骤,其中用到了SUPERSET_CONFIG_PATH和FLASK_APP。此外,用户可能在部署时遇到问题,比如数据库初始化失败,正确设置环境变量可以帮助解决这些问题。 可能还需要提到环境变量的设置方法,比如在Linux系统中可以通过export命令临时设置,或者写入到.bashrc或配置文件中永久生效。例如,引用[2]中的source ~/.bashrc就是让环境变量立即生效的方法。 最后,生成的相关问题应该围绕环境变量的使用场景、配置方法以及常见问题解决,帮助用户进一步理解。比如如何自定义配置路径,或者处理数据库连接问题等。</think>Apache Superset 的环境变量配置主要用于指定运行参数、安全设置及扩展功能。以下是关键环境变量的说明及配置方法: --- ### 1. **核心配置变量** - **`SUPERSET_CONFIG_PATH`** **作用**:指定自定义配置文件路径(默认使用内置配置)。 **示例**: ```bash export SUPERSET_CONFIG_PATH=/opt/superset/superset_config.py ``` [^3] - **`FLASK_APP`** **作用**:声明Flask应用入口(固定为`superset`)。 **示例**: ```bash export FLASK_APP=superset ``` - **`SUPERSET_SECRET_KEY`** **作用**:用于加密会话、令牌等敏感数据。 **要求**:必须设置且长度≥32字符。 **示例**: ```bash export SUPERSET_SECRET_KEY='your_random_secure_key_here' ``` --- ### 2. **数据库连接** - **`SUPERSET_DATABASE_URI`** **作用**:定义生产环境元数据库连接(默认SQLite)。 **示例**(PostgreSQL): ```bash export SUPERSET_DATABASE_URI='postgresql+psycopg2://user:password@localhost/superset_db' ``` [^3] --- ### 3. **缓存与异步任务** - **`REDIS_URL`** **作用**:配置Redis地址以启用缓存或异步任务队列(Celery)。 **示例**: ```bash export REDIS_URL='redis://localhost:6379/0' ``` - **`CACHE_CONFIG`** **作用**:自定义缓存参数(需JSON格式)。 **示例**: ```bash export CACHE_CONFIG='{"CACHE_TYPE":"RedisCache","CACHE_REDIS_URL":"redis://localhost:6379/1"}' ``` --- ### 4. **安全与权限** - **`SUPERSET_FEATURE_FLAGS`** **作用**:启用/禁用功能(如行级权限、跨域访问)。 **示例**: ```bash export SUPERSET_FEATURE_FLAGS='{"ENABLE_ROW_LEVEL_SECURITY": true}' ``` --- ### 5. **部署与日志** - **`SUPERSET_ENV`** **作用**:设置运行环境(如`production`或`development`)。 **示例**: ```bash export SUPERSET_ENV=production ``` - **`SUPERSET_LOG_LEVEL`** **作用**:控制日志详细程度(如`INFO`, `DEBUG`, `WARNING`)。 **示例**: ```bash export SUPERSET_LOG_LEVEL=DEBUG ``` --- ### **配置生效方法** - **临时生效**:直接在终端执行`export`命令。 - **永久生效**:写入`~/.bashrc`或`/etc/profile`,并执行`source ~/.bashrc`[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值