Oracle 10g列掩码与关系视图比较

    在前面的文章，我为大家介绍了如何使用Oracle 10g的虚拟私有数据库特征（VPD）掩藏某列数据TechRepublic的成员BrooklynPennyPincher建议我写一篇关于VPD与关系视图的比较文章。     前面文章中小技巧的任务是假如department_id的值等于60，那么掩藏报告中的salary和commission_pct列。因为谓词是一个静态值，所以一个关系视图肯定也能够完成同样的任务。     列表A显示了使用选择器CASE语句（这个语句在Oracle SQL的8i版本有了）比较depatment_id的值与60的关系的视图，假如相等返回NULL，假如是另外一个值则返回salary。一个类似的CASE语句也可以掩藏commission_pct列的数据。通过只授权访问视图而不是基本标（Employees）来保护数据。     但是假如我稍稍改变一下规则，要求掩藏除了用户本部门内的所有工资。这将会怎样？     你的第一想法可能是简单地创建更多的视图- -每个部门一个- -并且授予每个用户访问对应的视图的权限。有很多理由说明这不是一个好的解决方案，具体如下：     大量的视图可能增加维护负担（例如，假如一个改变了，所有其它的可能也需要改变）。新的部门可能要求新的视图，用户必须授予访问许可，当用户改变所在部门时，这些访问许可也必须改变。     视图中实现的查询可能是静态值，而不是绑定变量，因此大量同等重要的查询副本将存储在共享池中。     应用开发中必须为不同的用户调用不同的视图名，这也是复杂性的一个来源。     列表B对前面文章中的VPD策略函数进行了一些修改。取替直接比较部门号60，该示例中使用了SYS_CONTEXT函数来返回用户部门号（假设这个值在用户登录时设定），然后函数为不同的用户返回一个不同的断言（WHERE语句）。工资只在满足断言条件的行中显示，假如没有设定部门号，将返回始终为假的断言“1==2”，使得整个报告中的所有工资都被掩藏。     更加有利的是调用函数SYS_CONTEXT作为查询中一个绑定的变量，只有该查询的一个副本存储在共享池中来处理所有部门。     也可以使用SYS_CONTEXT函数以同样的方式构建关系视图，但是应用中的一个不同的视图将可能看到所有的数据。VPD方法将会过滤所有对Employees表的访问，而不管是哪个查询。     这是这两种方法的要害区别：视图设计用来过滤一个应用内的数据，而VPD设计用来答应大量用户组透明的共享同样的数据表，每个人只能看到他自己拥有的数据而不管是何应用。CREATE OR REPLACE VIEW masked_salary_view

AS

SELECT first_name, last_name,
   CASE department_id
     WHEN 60 THEN NULL
     ELSE salary
   END AS salary,
   department_id

FROM employees

/ CREATE OR REPLACE
FUNCTION rls_dept (obj_owner IN VARCHAR2, obj_name IN VARCHAR2)
RETURN VARCHAR2
AS
   deptno                       NUMBER;
   predicate                    VARCHAR2(200);
BEGIN
   deptno := SYS_CONTEXT('HR_CONTEXT','DEPT');
   IF deptno IS NULL THEN
      predicate := '1=2';
   ELSE
      predicate := 'department_id = 'deptno;
   END IF;

   RETURN (predicate);
END rls_dept;
/