如何使用Oracle的DBMS_REDACT对存储过程输出进行脱敏？

DBMS_REDACT 不作用于存储过程的输出，仅对表或视图的列在查询结果返回阶段动态掩码；其策略必须定义在物理对象上，无法应用于函数返回值、OUT参数或内存结构，且不可在PL/SQL中运行时调用。

dbms_redact 不作用于存储过程的输出，它只对表或视图的列在查询结果返回阶段做动态掩码。想靠它“脱敏存储过程返回值”，这条路走不通。

DBMS_REDACT 的生效对象只能是表或视图

Oracle 的 DBMS_REDACT 是在 SQL 执行计划末尾注入脱敏逻辑，依赖数据库内核对“物理对象”的列级访问控制。它识别的是 SELECT 语句中引用的基表/视图列，而不是 PL/SQL 函数、存储过程的 RETURN 值或 OUT 参数。

• 你写一个存储过程 get_emp_info 返回 id_card 字段，DBMS_REDACT 策略加在 EMP_INFO 表上 —— 那么只有直接查 SELECT id_card FROM EMP_INFO 才会脱敏；而调用 get_emp_info 时，只要过程内部是 SELECT ... INTO ... FROM EMP_INFO 再返回，脱敏仍有效（因为底层还是查了表）
• 但如果你的过程是拼 SQL、用游标变量、或从临时表/集合类型返回数据，DBMS_REDACT 就完全不感知 —— 它没地方挂策略
• 试图对 FUNCTION f_mask_idcard 的返回值加策略？不行。f_mask_idcard 不是表字段，DBMS_REDACT.ADD_POLICY 会报 ORA-44303：object must be a table or view

为什么不能在存储过程中调用 DBMS_REDACT？

DBMS_REDACT 是管理型包，不是运行时函数。它的过程如 ADD_POLICY、ENABLE_POLICY 只能由 DBA 或授权用户在 DDL 级别执行，且必须在策略生效前完成。它不提供类似 redact_value(col) 这样的标量函数供 PL/SQL 调用。

• 你在存储过程里写 DBMS_REDACT.ADD_POLICY(...)？语法上允许，但每次执行都去建策略，既违反权限最小化原则，又会导致重复策略名报 ORA-28650
• 想用 DBMS_REDACT.PARTIAL 的参数规则在过程里手动模拟脱敏？别试 —— 'VVVVVVFVVVV' 这类格式是内核专用解析语法，PL/SQL 无法复现其行为，且日期、数字字段的 partial 规则与字符串完全不同
• 真正需要过程内可控脱敏，应该用自定义函数，比如 f_mask_idcard(p_id IN VARCHAR2)，里面做长度判断、空值处理、15/18位分支，而不是动 DBMS_REDACT

哪些场景看似“存储过程脱敏”，其实是 DBMS_REDACT 在背后起作用？

只有当存储过程的查询路径最终落到带策略的表或视图上，且调用者无豁免权限时，才看起来像“过程输出被脱敏”。关键不在过程本身，而在它查什么、谁在查。

• 过程里写 SELECT id_card, mobile FROM emp_info WHERE ... → 对应表有策略 → 非 owner 用户调用该过程，看到的就是脱敏值
• 过程返回 SYS_REFCURSOR，且打开游标时执行的是带策略表的查询 → 同样生效
• 但如果过程把数据先 SELECT INTO 记录类型，再逐字段拼成 JSON 字符串返回 → DBMS_REDACT 完全失效，因为脱敏发生在“结果集生成后、返回前”这一层，而记录类型已是内存结构
• 注意角色权限：拥有 EXEMPT REDACTION POLICY 的用户（如 DBA），哪怕查同一张表，也永远看不到脱敏效果 —— 这是设计使然，不是 bug

真正要控制存储过程输出内容，得回到 PL/SQL 逻辑层：用自定义函数做字段级脱敏，或在 OPEN FOR 语句前对变量显式赋值掩码结果。DBMS_REDACT 是基础设施，不是胶水函数 —— 它管不到过程体内的任何一行代码。