Создание POLICY для таблицы

@LuckyVadim · Регистрация: 05.10.2017

Студворк — интернет-сервис помощи студентам

Есть таблица Employee(сотрудники) с полями (id_employee, surname, name, patronymic, birthday, id_post, salary, id_tax, login).
Поле login - это название роли, id_tax - id налоговой.
Вот хочу чтобы мне выводились все сотрудники по налоговой

Oracle 11 SQL
1
2
3
4
5
6
CREATE  POLICY rls_pol_1 ON "Employee" FOR SELECT
TO employee USING
(id_tax = 
(SELECT DISTINCT
id_tax
WHERE id_tax = (SELECT id_tax WHERE "login" = CURRENT_USER)));

"Вроде всё хорошо", - подумаете вы. Но нет, выводит только одного сотрудника.
А если написать:

Oracle 11 SQL
1
2
3
4
5
6
CREATE  POLICY rls_pol_1 ON "Employee" FOR SELECT
TO employee USING
(id_tax = 
(SELECT DISTINCT
id_tax
WHERE id_tax = (SELECT id_tax FROM "Employee" WHERE "login" = CURRENT_USER)));

Должно быть всё хорошо, но это рекурсивная POLICY всё портит из-за FROM "Employee".
Может есть какое-то решение другого составления подзапроса?

@grgdvo · 04.04.2020, 12:28

что-то я не понимаю логики вашей полиси. что выхотите под USING сделать??
что id_tax принадлежит множеству уникальных id_tax в этой же таблице??
не вижу смысла в этом, не понимаю. опишите словами, что хотите сделать.

Сообщение от LuckyVadim

Вот хочу чтобы мне выводились все сотрудники по налоговой

это непонятно

@LuckyVadim · 04.04.2020, 13:03 **[ТС]**

Сотрудник может зайти в БД под своим логином и паролем, но увидит он записи только, принадлежащие его налоговой. Сотрудников из другой налоговой он не должен видеть.
Вот админ может видеть все записи:

SQL
1
2
3
CREATE  POLICY rls_pol_0 ON "Employee" FOR ALL
TO "admin"
USING (TRUE);

Вот POLICY для другой таблицы "Платежи", в которой есть также есть поле id_tax(код налоговой):

SQL
1
2
3
4
5
6
7
8
CREATE  POLICY rls_pol_1 ON "Payment" FOR ALL
TO "employee" USING
(id_tax = 
(SELECT DISTINCT
"id_tax"
FROM
"public"."Employee"
WHERE "Employee".id_tax = (SELECT "Employee".id_tax FROM "Employee" WHERE "login" = CURRENT_USER)));

Здесь же всё работает хорошо, сотрудник из налоговой "1" видет платежи всех сотрудников налоговой "1"(логично)

@grgdvo · 04.04.2020, 19:42

зачем для этого distinct ??
так нет??

SQL
1
2
3
CREATE  POLICY rls_pol_1 ON "Payment" FOR ALL
TO "employee" USING
(id_tax = (SELECT "Employee".id_tax FROM "Employee" WHERE "login" = CURRENT_USER));

@LuckyVadim · 04.04.2020, 20:01 **[ТС]**

Спасибо за то, что уменьшили запрос, но вопрос остался открыт. Для таблицы "Employee" я так и не могу создать адекватное условие, чтобы выводились все сотрудники налоговой(id_tax).
Так бесконечная рекурсия из-за from employee

SQL
1
2
3
4
5
6
CREATE POLICY rls_pol_1 ON "Employee" FOR SELECT
TO employee USING
(
id_tax 
= 
(SELECT "Employee".id_tax FROM "Employee" WHERE "login" = CURRENT_USER));

Так выводится только сотрудник с логином - CURRENT_USER

SQL
1
2
3
4
5
6
CREATE POLICY rls_pol_1 ON "Employee" FOR SELECT
TO employee USING
(
id_tax 
= 
(SELECT id_tax WHERE "login" = CURRENT_USER));

Но в текущей таблице три сотрудника из налоговой, а выводит одного
То есть пользователь с логином "1234" находится в налоговой(id_tax=1). И пользователи с логинами "10" и "20" в этой налоговой. Но выводит мне только текущего

@grgdvo · 04.04.2020, 20:24

Не, рекурсивно не получится.
using добавляется неявно к исходному запросу, чтобы исполнять политику.
у вас получается бесконечная рекурсия

@LuckyVadim · 04.04.2020, 20:26 **[ТС]**

Да, это я имел ввиду. Вопрос в том, как это обойти?

@grgdvo · 04.04.2020, 20:46

для решения такой задачи вероятно стоит внести некое понятие группы - принадлежность пользователя одному налоговому органу.
тогда полиси можно навесить на эти группы:
- пользователь может узнать свою группу (или налоговый орган)
- пользователь видит все записи своей группы

Добавлено через 7 минут

SQL
1
2
3
4
5
6
7
8
9
10
11
12
CREATE TABLE tax_group
(
login text,
id_tax INTEGER
);
 
ALTER TABLE tax_group enable ROW level security;
 
CREATE policy rls_pol_grp_1 ON tax_group USING (login = CURRENT_USER);
 
CREATE policy rls_pol_1 ON employee FOR SELECT
USING (id_tax = (SELECT id_tax FROM tax_group WHERE login = CURRENT_USER);

@LuckyVadim · 04.04.2020, 23:48 **[ТС]**

Спасибо, огромное. И последний вопрос. Можно ли реализовать вставку значений в эту таблицу("tax_group") тригерной функцией(как реализовать)?
То есть я записываю данные в таблицу "Employee", а after insert срабатывает тригер, запуская функцию, записывает новые значения в таблицу "tax_group"

@grgdvo · 05.04.2020, 17:56

да, так можно.
но и update и delete тоже нельзя забывать

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@grgdvo 1263 / 977 / 384 Регистрация: 02.09.2012 Сообщений: 3,020
	04.04.2020, 20:24
	Не, рекурсивно не получится. using добавляется неявно к исходному запросу, чтобы исполнять политику. у вас получается бесконечная рекурсия 0

@LuckyVadim 0 / 0 / 1 Регистрация: 05.10.2017 Сообщений: 53
	04.04.2020, 20:26 [ТС]
	Да, это я имел ввиду. Вопрос в том, как это обойти? 0

@LuckyVadim 0 / 0 / 1 Регистрация: 05.10.2017 Сообщений: 53
	04.04.2020, 23:48 [ТС]
	Спасибо, огромное. И последний вопрос. Можно ли реализовать вставку значений в эту таблицу("tax_group") тригерной функцией(как реализовать)? То есть я записываю данные в таблицу "Employee", а after insert срабатывает тригер, запуская функцию, записывает новые значения в таблицу "tax_group" 0

@grgdvo 1263 / 977 / 384 Регистрация: 02.09.2012 Сообщений: 3,020
	05.04.2020, 17:56
	да, так можно. но и update и delete тоже нельзя забывать 0

Создание POLICY для таблицы

Решение