我来分享几个在Apache Ranger Hive行级过滤策略里使用通配符的实操方案，毕竟之前在项目里踩过不少这方面的坑😉

1. 用Hive原生LIKE实现基础通配需求 #

Ranger的行级过滤规则最终会转换成Hive的WHERE子句，所以直接用Hive支持的LIKE语法就能实现简单通配：

• %：匹配任意长度的字符（包括0个）
• _：匹配单个字符

举个实际例子：
如果想让用户只能看到department字段以sales开头的行，过滤规则可以这么写：

department LIKE 'sales%'

要是需要匹配employee_id第二个字符是3的行：

employee_id LIKE '_3%'

⚠️ 注意：这里的通配符是Hive的语法，别和Ranger资源配置里的通配符（比如表名用*）搞混，二者完全不是一回事。

2. 用RLIKE/REGEXP实现复杂正则通配 #

如果需要更灵活的多模式匹配，就用Hive的RLIKE或REGEXP（两者功能等价），支持标准正则表达式：

比如要匹配email字段是gmail.com或yahoo.com后缀的行：

email RLIKE '@(gmail|yahoo)\\.com$'

这里要注意：在Ranger里写规则时，反斜杠需要写成两个（\\）才能被Hive正确解析。

3. 结合Ranger变量替换实现动态通配过滤 #

如果要根据当前登录用户生成动态的带通配符规则，可以用Ranger内置变量（比如${USER}）：

比如每个用户的用户名格式是name_sales，要让用户只能看到自己对应部门的行，规则可以这么写：

department LIKE concat('%', substr('${USER}', instr('${USER}', '_')+1), '%')

这个逻辑是先从用户名里提取部门后缀，再用LIKE做模糊匹配，实现动态行级过滤。

必须避开的Ranger约束坑 #

• 绝对不能把Ranger资源配置里的*通配符用到行级过滤里，行级过滤只认Hive的语法规则；
• 行级过滤规则里的特殊字符（比如正则里的.）一定要正确转义；
• 复杂规则写完后，建议先在Hive CLI里测试对应的WHERE子句是否生效，再放到Ranger里配置。

内容的提问来源于stack exchange，提问作者rishabh shukla