使用 RLS 块谓词防止更新
行级安全性使你可以定义一些谓词,这些谓词将控制谁可以更新表中的行。首先,你需要定义一些表值函数,该函数表示将控制访问策略的谓词。
创造功能
dbo.pUserCanAccessProduct(@CompanyID int)
RETURNS TABLE
WITH SCHEMABINDING
AS RETURN(选择 1 作为 canAccess WHERE
CAST(SESSION_CONTEXT(N’CompanyID’)as int)= @CompanyID
)在此示例中,谓词表示只有在 SESSION_CONTEXT 中具有匹配输入参数值的用户才能访问该公司。你可以设置任何其他条件,例如检查当前用户的数据库角色或 database_id 等。
上面的大部分代码都是你要复制粘贴的模板。这里唯一会改变的是 WHERE 子句中谓词和条件的名称和参数。现在,你创建将在某些表上应用此谓词的安全策略。
现在,如果表中的 CompanyID 列不满足谓词,我们可以使用谓词来创建安全策略,该谓词将阻止对产品表的更新。
创建安全政策 dbo.ProductAccessPolicy ADD BLOCK PREDICATE dbo.pUserCanAccessProduct(CompanyID)
ON dbo.Product
该谓词将应用于所有操作。如果要在某些操作上应用谓词,可以编写如下内容:
创建安全策略 dbo.ProductAccessPolicy ADD BLOCK PREDICATE dbo.pUserCanAccessProduct(CompanyID)
ON dbo.Product after INSERT
在块谓词定义之后可以添加的可能选项是:
[{AFTER {INSERT | 更新}}
| {在{更新|之前] 删除}}]