ECLIPSE MOONДобрый день!
Есть такая проблемка, Apex не видит защиту данных на сервере Oracle.
Предприятие работало с Oracle Forms и на уровне сервера была создана с помощью контекстов и RLS защита просмотра данных. Проверка прав доступа происходила при входе в базу.
Например, в Oracle мне дали доступ на просмотр з/п моего отдела, а если я вхожу в Apex, то вижу з/п всего предприятия.
Помогите пожалуйста, чем можете, я новичок).
Необходимо, чтоб Apex тоже видел защиту данных на уровне строк, может где-то подкрутить надо. В инете пишется только про VPD.
Спасибо всем, кто откликнется)

Ну самый простой способ дать весь rls apex_public_user
Ещё более простой ...дропнуть rls...:-)
Посложнее...настроить апекс как авторизацию от database user ...в этом случае rls будет полностью совместима.

ECLIPSE MOONheavysideECLIPSE MOON,

Вам выше предлагали перейти на Authentication Scheme по юзеру. Чем такой вариант не устраивает?
Shared Components -> Authentication Scheme создайте по Database User Accounts или типа того
К сожалению, апекса 3.2 уже давно нигде у меня нет, не могу сказать как там подробно.

Сейчас у вас апекс коннектится и все запросы выполняются с правами схемы.

И с чем связано использование столь древней версии apex? Старая версия СУБД? Если осуществляете миграцию, то почему бы не перейти на современные версии? Если же миграция была давно, то почему только сейчас возникла проблема?.

Да СУБД Oracle 9i и все проги написаны на Forms 6. Пытались мигрировать на 11, но он очень медленный. Лицензия Apex3.2 была куплена еще в 2012 году.

Коннект приложения идет по Database User. Апекс отбрасывает police защиту на уровне строк(RLS), написанную на сервере oracle, и показывает все все данные.

Вы ничего не путаете?? ..у Вас точно от Database User.?...Тогда rls просто не может не сработать...Разве,что у Вас Formsы сами назначали у себя внутри context пользователя своим алгоритмом(Который надо и в апексе тогда дублировать)...а не СУБД алгоритмом,допустим на login триггере бызы данных....Или пакетом схемы.

И Вы уверены,что у Вас RLS...??? часто Formsы включают выключают роли при инициализации формы на экране.(Дибильный атавизм,который был пока rls не придумали,но разработчики Forms,продолжали этот атавизм юзать)

И с трудом представляю,как 11 оракле может быть медленее 9го...
разве Вы Т.У(тех.условия не подняли)...и запускали на том(подобном) же компе где и 9.
По таким вопросам лучше производительности лучше в ветку оракла.

ECLIPSE MOON,
Apex даже в SQL WORKSHOP


SQL WORKSHOP работает в авторизации apex_public_user.
Поэтому не удивительно ,что там не так.
А само приложение у Вас ,будет авторизовываться как Database User...
И в этом случае создастся тригером правильный контекст для сессии.
И именно приложение будет работать верно.(а sql WORKSHOP неверно...).
И раз у Вас всё централизованно через триггер,то протрассируйте его.
Ну совсем по простому добавьте в код триггера
insert into login_table(user,context_name,sysdate) и посмотрите
(Надеюсь вы понимаете что login_table надо создать вначале)

К сожалению, авторизация с Database User тоже показывает все данные,
Спасибо за совет, потестим тригер.

Вот очень странные вещи у Вас происходят
Авторизация сессии от Database User не отличается(на мой взгляд...пусть тот кто в апексе работает под database user авторизация меня поправят) от авторизации в sqldeveloper

...либо Ваша версия апекс довольно старая и
1.Не делает де факто автризацию от database user
2.делает следующее авторизуется от apec_public_use....

Не
дописалось.
2.2.делает следующее авторизуется от apec_public_user ,а потом
alter session set user такой-то.(Правда потом оно как из пуда вытягивает)...
И В этом случае login triger нервно курит в сторонке.
Вобщем без трассировки тригера никак.

Petro123irbis_alАвторизация сессии от Database User не отличается(на мой взгляд...пусть тот кто в апексе работает под database user авторизация меня поправят) от авторизации в sqldeveloper
у него же пул.
Я так думаю, что апекс дает права коннект пула перебрасывая все права данные грантами (GRANT).
Всё что по грантам дано у меня работает без сбоев.
А вот так как у ТС...не знаю.

М..растолкуй...
Я так понимаю пул(Во всяком случае у меня(не на апексе))
И вообще классический пул...
session=datbasepool.get(username,pass)
И он даёт ,если есть свободное соединение,- пула именно того username
или если нет коннектится на новое соединение.по usermame/pass

В апексе надеюсь так?

ECLIPSE MOON,
К сожалению, авторизация с Database User тоже показывает все данные, я так понимаю нужно добавлять контексты VPD с обозначение APP_USER и больше никак .
Спасибо за совет, потестим тригер.

Вот ещё раз перечитал и меня смутило VPD с обозначение APP_USER...
APP_USER означает не database авторизацию...иначе(при database автоизации) у Вас app_user=database user.

Petro123irbis_al,
вот сколько соединений создалось при обычном входе на главную страничку

Стоп раз...два..а у Вас точно от Database User авторизация,???..
В картинках только apex_public_user...
Тогда понятно...
Он авторизуется от apex_public_user.
а потом делает alter session на db_user
В этом случае действительно login триггер отдыхает.
И правильный контест вы не создадите.

irbis_alPetro123irbis_al,
вот сколько соединений создалось при обычном входе на главную страничку

Стоп раз...два..а у Вас точно от Database User авторизация,???..
В картинках только apex_public_user...
Тогда понятно...
Он авторизуется от apex_public_user.
а потом делает alter session на db_user
В этом случае действительно login триггер отдыхает.
И правильный контест вы не создадите.

Блин сам проверил...создал тестовое приложение...на DB автроризации...
Главное он только имя пользователя и пароль проверяет...а дальше ваккурат от apex_public_user работает/

Сделал регион.на pl/sql блок


Выводит APEX_PUBLIC_USER

Petro123irbis_al,
Проще посмотреть сессии в оракле. Там имена коннектов и с какой машины.
Это я первым делом сделал...но своим глазам не поверил :-)
Просто вся концепция рушится...(Хорошо,что я не использовал эту концепцию)
На фига тогда db авторизация,если всё равно через прокси-юзера ходит.