問題タブ [row-level-security]

現在、認証/承認フレームワークを評価しています。

Apache Shiro は非常に優れているようですが、行レベルのセキュリティ機能がありません。

たとえば、データベースには、特別な権限を持つユーザーのみが表示およびアクセスできる特別な行がある場合があります。不必要な往復を避けるために、現在、SQL クエリを変更して認証データと結合し、現在のユーザーに表示される行のみを取得します。

しかし、この概念は私には「正しい」とは思えません。なぜなら、ビジネス コードと、互いに直交し、独立している必要があるセキュリティ関連のコードを混在させているからです。

• どのようなソリューションが利用可能/可能ですか?
• 行レベルのセキュリティをどのように実装しますか(特に jpa と組み合わせて) ?

アップデート：

ターゲット データベースは主に Oracle 10g/11g
ですが、大きな欠点がなければ、データベースに依存しないソリューションをお勧めします。

Oracle に見られるように、組み込みの機能、または SQL Server 2008 で RLS (Row Level Security) をシミュレートする方法はありますか?

MySQLを使用して開発しているWebアプリで行レベルのセキュリティをエミュレートしようとしています。

この方法の使用：必要なテーブルを使用してデータベースを作成します。このデータベースには、テーブルの列に適切なインデックスを付けて、すべてのユーザーに関連するデータが格納されます。

ユーザーIDに基づいて特定のユーザーにmysqlの「ビュー」を作成します。

行レベルのセキュリティを実現するには、すべてのユーザーにmysqlアカウントを作成し、ビューに「grant」権限を設定する必要があります。

Webインターフェイスには、PHPベースのMVCフレームワークが使用されます。

しかし、私の調査によれば、次のようになります。

1] Having separate mysql account per user "make the webapp less secure".
2]Having separate mysql account per user "increases the disk I/O".

質問：
1] How does creating mysql user per webapp user make the webapp less secure?
2] Does the disk I/O increase considerably?
3] Is there a better way to implement row-level-security in MySQL?
4]What are the pros/cons of implementing row-level-security by the above method?

行レベルのセキュリティを検討しているのはなぜですか？
I need row level security because there are rows which will be shared between multiple users & have 1 or 2 owners to it. Only these owners can delete/modify them.

SQL Server 2012の行レベルのセキュリティについて何か新しいことはありますか？

2008年以降、ビューを使用する唯一の方法は、2012年に、次のようなものRow Level Security in Tabular Modelsを発表しました。これは、テーブル上のRLSと何らかの関係がありますか？

2012年のRLS全般に関するニュースはありますか？

私は学習管理システムを開発しています。

システムには、Student、Tutors、Admin、Deanなどの複数のアクターがあります。次に、さまざまな役割を処理できる許可システムが必要です（Studentsはコースをバスケットに追加でき、TutorsはコースをCRUDでき、Adminsは財務部分にもアクセスできます）同様に、など）

私の調査に基づいて、さまざまな役割を処理できる行レベルの権限システムが必要です。などのようなアプリを見たことがありますがdjango-guardian djang-permissions django-rulez、それらに基づいてロールを設計する方法についてはまだ混乱しています（それらは十分に文書化されていません）。

誰かが私にこのつらい仕事を成し遂げるためのヒントを与えることができますか？

SQL Server 2008 を使用しており、Active Directory (AD) で権限を設定しています。コア テーブルの各行は、各行を表示する権限を持つユーザーのみが表示できるようにする必要があります。各行に行レベルのセキュリティを設定できます (各行には、AD グループと一致する単一のロールが含まれます) が、次の問題があります:-

• 役割は国を表すため、私は数百の役割を持っています。さらに、いくつかのロールにアクセスできるユーザーが何人かいます...そして、ユーザーがアクセスできるいくつかのロールは、一貫してグループ化されていません（つまり、重複があります）：したがって、ロールとユーザーは多対多の関係です

この場合 (柔軟なモデルを有効にするため)、私の最初の本能は、国ごとに 1 つの AD グループを作成し、次にデータベース ロール内にグループを作成することです (各国をグループ化するため)。ただし、これはメンテナンスのオーバーヘッドになります。たとえば、すべてのグループにアクセスできるスタッフ メンバーが多数いるため、国がオンラインになると、新しい AD グループが作成されます。つまり、これらのユーザーをメンバーとして新しい AD グループ (および新しいグローバル ユーザーをすべてのグループに追加する必要があります) - 全体的にアクセスできるグローバル グループが必要です。

この種の問題に遭遇した人はいますか。基本的に、非常に詳細な AD グループのみがあれば、データベース ロール レベル内で多対多に対応できますが、たとえば、詳細な AD グループ (詳細なアクセス許可が必要なユーザー用) とそれらのグローバル AD グループを使用したいと考えています。すべての行にアクセスする必要があるユーザー (グローバル アクセス権を持つユーザーを追加するだけで済みます)

これが私が読んできたものです：

私の目標は、ログインが「所有する」行のみを表示できるようにすることです。

データベース内のすべてのテーブルがこのテーブルから継承されているとしましょう:

例えば：

PostgreSQL には、スキーマ内のすべてのテーブルとビューに影響を与えるスキーマ レベルの選択規則のようなものがありますか..AND WHERE TENANT = current_user? そのようなグローバルなルールがない場合、テーブルごとに行うことはできますか? 私の試みは成功していません。おそらく、ルールの作成方法についていくつか誤解している可能性があります。これが私がやろうとしたことです：

選択ルールを作成しようとしています：

しかし、このエラーが発生します:ERROR: could not convert table "foo" to a view because it has indexes

security-barrierを使用してビューを作成しようとしています:

次に、挿入を試みます。

しかし、このエラーが発生します:

テーブルに行レベルのセキュリティ バリアを実装するには、どのような手順が必要ですか?

Oracle 行レベル セキュリティ (RLS) を使用して一部のレコードを非表示にすると、パフォーマンスへの影響はありますか? SQL クエリの速度が低下しますか? このための Oracle パッケージは、DBMS_RLS です。

いくつかのテーブルに IS_HISTORICAL=T/F を追加する予定です。次に、RLS を使用して、IS_HISTORICAL=T の値を持つレコードを非表示にします。

アプリケーションで使用する SQL クエリは非常に複雑で、内部/外部結合、サブクエリ、相関サブクエリなどがあります。

200 の奇数テーブルのうち、約 50 にこの RLS ポリシー (IS_HISTORICAL=T によってレコードを非表示にする) が適用されます。150 個のテーブルの残りは、これらの 50 個のテーブルの子テーブルであるため、RLS はそれらに暗黙的に適用されます。

ライセンスへの影響はありますか?

ありがとう。

Laravel 4で行レベルの認証を作成することは可能ですか? バンドルまたはパッケージはありますか?

このような単純な関数を作成しようとしましたが、機能しません。データは返されますが、ポリシーがない場合と同じです。

この関数を VPD ポリシーで使用して、ユーザーがテーブルから選択するときに行のみを選択できるようにします。