0

我正在尝试在 SQL Server 2016 中实现行级安全性。

问题是,我可以有多个用户应该对给定的行具有读取权限,并且当我在谓词中编写一些复杂的条件时,性能变得非常非常非常糟糕。

我试图将所有用户名保留在表的一列和谓词中以通过它们搜索SYSTEM_USERwith% LIKE %但性能很低。

我的受控表中用户名列中一行的值示例:

domain\john.wick;domain\red.eagle;domain\spartak.something....

这是我的功能:

CREATE FUNCTION fn_securitypredicate(@Usernames AS nvarchar(4000))  
  RETURNS TABLE  
WITH SCHEMABINDING  
AS  
  RETURN
  SELECT 1 as Result
  WHERE @Usernames LIKE '%' + SYSTEM_USER + '%'

执行时间从 2 秒变为 50 秒。任何改进建议。

CREATE SECURITY POLICY [Policy]   
ADD FILTER PREDICATE [fn_securitypredicate]([Usernames])   
ON [dbo].[Products];
4

1 回答 1

1

这是我为以前的团队提出的解决方案。

这需要用户表、用户权限表以及受控表上的权限列。它还应该有一个用户组和用户组权限表以随用户扩展。

users                   user_permissions            controlled_table
+-----------+---------+ +---------+---------------+ +---------------+------+------+
| user_name | user_id | | user_id | permission_id | | permission_id | pk_1 | pk_2 |
+-----------+---------+ +---------+---------------+ +---------------+------+------+
| admin     |       1 | |       1 |             0 | |             2 |    1 |    1 |
| user1     |       2 | |       2 |             1 | |             2 |    1 |    2 |
| user2     |       3 | |       2 |             2 | |             3 |    1 |    3 |
| user3     |       4 | |       2 |             3 | |             4 |    2 |    1 |
|           |         | |       2 |             4 | |             3 |    2 |    2 |
|           |         | |       3 |             1 | |             1 |    2 |    3 |
|           |         | |       3 |             2 | |             1 |    3 |    1 |
|           |         | |       4 |             2 | |             5 |    3 |    2 |
|           |         | |       4 |             3 | |             4 |    3 |    3 |
|           |         | |       4 |             4 | |             2 |    4 |    1 |
|           |         | |         |               | |             3 |    4 |    2 |
|           |         | |         |               | |             3 |    4 |    3 |
+-----------+---------+ +---------+---------------+ +---------------+------+------+

为了提高性能,您需要将 permission_id 添加到您用于搜索受控表的任何索引中。这将允许您在搜索剩余列时加入索引权限。您应该查看执行计划以了解有关索引的特定详细信息。

于 2017-10-02T18:19:28.763 回答