策略
关键是找出各方面的哪些信息将被保护，哪些列上的信息将被保护。 这听起来很简单，但是实际做起来是很难的。 收集该信息需要商业知识，或者合作者至少要更熟悉那些过程。 一旦您识别到表和列，您应该能够按照以上背景部分中示例中显示的那样实施 VPD 策略。

即使 VPD 是很效的，如果您想让一些用户可以不受限制就可以访问表怎么办？ 角色 EXEMPT ACCESS POLICY 的确是这样做的。

grant exempt access policy to ananda;

从此处开始，ANANDA 将跳过在所有表中定义的所有访问策略。

使用户跳过所有访问限制可能是不可接受的，然而，一个更好的解决方案是在策略函数中对其进行编码。 一个很好的示例就是表的模式所有者——无疑您想该所有者看到表的所有行而不受到限制。 您可以在策略函数中对其进行如下编码：

create or replace function get_acc_max_bal
(
p_schema in varchar2,
   p_obj           in varchar2
)
return varchar2
as
   l_ret   varchar2(2000);
begin
   if (p_schema = USER) then
           l_ret := NULL;
else
select
                   case userlevel
                           when 1 then 'acc_bal <= 1000'
                           when 2 then 'acc_bal <= 1200'
                           when 3 then null
else
                           '1=2'
end
           into l_ret
           from userlevels
where username = 'HR'
end if;
   return l_ret;
end;

当表的所有者登录 (p_schema = USER) 时，该版本函数返回 NULL，所以对表的访问不受限制。 当然，您可以在该函数中进行任意更改，以允许更多用户跳过 VPD 策略。

VPD 的最大挑战是对子表进行限制。 您的限制条件可能在称为 ACC_BAL 的列上；但是所有其它子表不可能有该列。 因此，您如何限制那些表？

例如，这里有一个称为地址的表，该表包含这些客户的地址。 该表没有称为 ACC_BAL 的列，因此您如何对该表设置和 ACCOUNTS 表一样的限制？ 有如下两种方式：

• 将列 ACC_BAL 添加到地址表中。 您可以通过主表 ACCOUNTS 中的触发器对该列进行更新。 现在，您可以使用　ACCOUNTS　上使用的相同策略函数定义表中的策略。
  
  
• 对　ADDRESSES　表使用不同的策略函数。 在该函数中，返回值应该是

  ACCNO in (SELECT ACCNO FROM ACCOUNTS)

  这是策略限制中使用的谓词。 因此，VPD　将只显示表上的账户地址。而且因为无论如何　VPD　限制了表　ACCOUNTS，所以　VPD　将自动限制表　ADDRESSES。

您必须按照自己所处的环境从这两种方法中选取一种。

提示
几个潜在破环性提示如下：

• VPD 运行的方式是重写查询以添加额外的谓词。 用户查询可能写得很好，可能调整得很好，但是引入额外的谓词却带来了破坏，因为优化计划可能改变。 您应该仔细考虑潜在的影响，通过建立索引降低风险。

• 物化视图工作的方式是从底层表中选择行。 如果视图的模式所有者不受限制就可以访问该表，则只有那些和　VPD　策略一致的行才会被刷新，使视图不精确。

• 如果您已经设置了复制，从事传播和接收工作的用户应该可以不受限制地对表进行访问。否则，他们只能复制表中的一部分。

• 如果您使用直接路径插入（使用　APPEND　提示插入）对该表进行加载，那么您在该表上不可能有　VPD　策略。 使用可以不受限制地对表访问的用户，您应该临时禁止该策略，或进行插入。

• 直接路径导出跳过　SQL　层；因此，VPD　策略不会被应用。 所以，当您使用　DIRECT=Y　选项导出表时，Oracle　忽略该表，并且使用常规路径导出该表。 这可能增加整个执行时间。

(编辑:aniston)