Есть следующее решение этого вопроса.

1. Необходимо создать 3 дополнительные таблицы.

Таблица 1 содержит имена пользователей (USER_NAME) SQL сервера, назовем ее
USERS.
Пример:
ALLA
MARINA
SVETA

Таблица 2 содержит имена групп (GROUP_NAME), в которые объединены
пользователи
SQL сервера, назовем ее GROUPS.
Пример:
ALL
PART

Таблица 3 (GROUP_NAME, USER_NAME) является bridge table между таблицами 1 и
2,
она содержит связь между пользователями и группами, назовем ее GROUPS_USERS.
Пример:
ALL, ALLA
PART, ALLA
ALL, MARINA
PART, SVETA

2. В исходную таблицу SOURCE_TABLE необходимо добавить поле c именем группы.
Допустим в этой таблице (ID, NAME, GROUP_NAME) есть записи:
1, apple, all
2, orange, part

3. Создать представление типа
CREATE VIEW source_view AS
SELECT * FROM source_table
WHERE group_name IN (SELECT group_name FROM groups_users WHERE user_name =
USER)
Где USER это функция базы данных для получения имени пользователя.

4. Дать пользователям доступ только к представлению source_view
Тогда пользователь ALLA будет видеть записи
1, apple, all
2, orange, part
Соответственно пользователь MARINA будет видеть записи
1, apple, all
Соответственно пользователь SVETA будет видеть записи
2, orange, part

Это универсальный механизм, который используется в реально работающей
системе.
Естественно за это решение необходимо платить созданием дополнительных
табличек, поля и их сопровождением. Еще понадобятся внешние ключи и индексы.
Будет изменяться список пользователей и групп и это тоже необходимо
поддерживать.

У Oracle появился этот механизм начиная кажется с версии 9i.
Смотрите подробное описание в "Label Security Administrator's Guide".
Суть его похожа, сервер на лету переписывает ваши запросы для
разграничения доступа к записям таблицы.






"Демиург" <nospam@sql.ru>; wrote in message news:1676619@sql.ru...
Добрый день

Хотел спросить у знающих товарищей, каким образом можно осуществить такое:

Допустим есть таблица, которая содержит реквизиты документов, т.е.
фактически это табица документов. Теперь нужно сделать так, что бы некоторые
пользователи могли видеть одни документы(записи в таблице), но не видеть
другие и тд.

Думал организовать это с помощью курсоров (например делаем выборку из
таблицы документов, только тех записей которые удов. определенным условиям,
которые связаны с правами пользователя). Соответсвенно пользователь не может
сделать выборку из самой таблицы (у него нет прав на SELECT но есть на
INSERT).

Почитав форум - наткнулся на то, что курсоры это мол тормоза и их
использование - показывает непрофессионализм разработчика, и все в таком же
духе.

А как тогда реализовать безопасность?
Тема Ответить


Posted via ActualForum NNTP Server 1.2