В версии Caché 2007.1 появилась возможность управлять в SQL безопасностью на уровне строк таблиц (Row-level Security).
Это реализуется следующим образом: появляется системный столбец, который содержит список ролей и/или пользователей, которые имеют доступ к каждой строке таблицы. Когда выполняется запрос пользователь должен иметь хотя бы одну роль, для того чтобы увидеть строку. Как правило, список ролей вычисляется на основании данных таблицы и при изменениях строки автоматически вычисляется новый список ролей. За счет индексирования системного столбца безопасность на уровне строк таблиц лишь незначительно уменьшает производительность SQL.
Вот небольшой пример:
1. Создайте класс Test.RowLevelSecurity
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Class Test.RowLevelSecurity Extends (%Persistent, %Populate)
{
Property Name As %String(POPSPEC = "Name()");
Property DOB As %Date;
Parameter ROWLEVELSECURITY = 1;
ClassMethod %SecurityPolicy(Name) As %String [ SqlProc ]
{
if $e(Name,1)="S" {quit "Vadim,_SYSTEM"} else {quit "Vadim"}
}
}
2. Создайте пользователя Vadim с правами работать через SQL.
3. Сгенерируйте тестовые данные: Do ##class(Test.RowLevelSecurity).Populate(1000)
4. Зайдите в портал управления под пользователем Vadim и выполните SQL-запросы:
select * from Test.RowLevelSecurity
select count(*) from Test.RowLevelSecurity
Вы должны увидеть все 1000 строк, которые Вы сгенерировали.
5. Зайдите в портал управления под пользователем _System и выполните SQL-запросы:
select * from Test.RowLevelSecurity
select count(*) from Test.RowLevelSecurity
Вы должны увидеть только строки, которые начинаются на “S” и получить количество таких строк.
Есть возможность использовать безопасность на уровне строк таблиц и для существующих таблиц.
Подробности в документации.
Обратите внимание, что безопасность на уровне строк таблиц работает только на уровне SQL и не работает при прямом или объектном доступе.
Вадим
