以下举例说明,authid current_user和authid definer的一些差别。
DB Version :11.2.0.4
举例1:
用户system:
用户system新建一个存储过程p_test,这里authid current_user
create or replace procedure p_test
authid current_user
as
v_count number;
begin
select count(*) into v_count from dba_objects;
dbms_output.put_line(v_count);
end;
用户system授权scott有执行这个存储过程system.p_test的权限。
grant execute on system.p_test to scott;
用户scott:
用户scott执行存储过程system.p_test
begin
system.p_test;
end;
报错,表或视图不存在,因为没权限select视图dba_objects。
ORA-00942: table or view does not exist
ORA-06512: at "SYSTEM.P_TEST", line 6
ORA-06512: at line 2
用户system:
用户system新建一个存储过程p_test,这里不指定authid,即默认的authid definer。
create or replace procedure p_test
as
v_count number;
begin
select count(*) into v_count from dba_objects;
dbms_output.put_line(v_count);
end;
用户scott:
用户scott执行存储过程system.p_test
begin
system.p_test;
end;
执行成功。authid definer是使用定义者的权限去运行的,system有select dba_objects的权限,所执行成功。
举例2:
用户system:
用户system新建一个存储过程p_test2,这里不指定authid,即默认的authid definer
create or replace procedure p_test2
as
begin
execute immediate 'create table scott.tb_01 as select * from dual';
end;
用户system执行存储过程system.p_test
begin
system.p_test2;
end;
报错,无权限。虽然system有执行create table scott.tb_01的权限,但这个权限是角色DBA中的权限,在authid definer的存储过程是disabled。[All roles are disabled in any named PL/SQL block (stored procedure, function, or trigger) that executes with definer's rights.]
ORA-01031: insufficient privileges
ORA-06512: at "SYSTEM.P_TEST2", line 5
ORA-06512: at line 2
用户system新建一个存储过程p_test2,这里authid current_user
create or replace procedure p_test2
authid current_user
as
begin
execute immediate 'create table scott.tb_01 as select * from dual';
end;
用户system执行存储过程system.p_test
begin
system.p_test2;
end;
执行成功。authid current_user时,使用存储过程的会话的角色DBA中的权限是enabled,所以执行成功。这一点可以通过在存储过程中查看session_roles视图来验证。
执行成功。
举例3:
用户system:
用户system授权DBA角色给scott。这里注意,scoot只有授权之后的新会话才具有DBA角色。
grant dba to scott;
用户scott:
用户scott新建一个存储过程p_test
create or replace procedure p_test
as
v_count number;
begin
select count(*) into v_count from dba_objects;
dbms_output.put_line(v_count);
end;
编译时报错,表或视图不存在。因为scott虽然具有DBA的角色,但在编译时,角色是disabled。这里不论authid current_user还是authid definer,因为authid属性是作用于运行时,而不是编译时。
Compilation errors for PROCEDURE SCOTT.P_TEST
Error: PL/SQL: ORA-00942: table or view does not exist
Line: 6
Text: select count(*) into v_count from dba_objects;
用户system:
--用户system授权dba_objects视图的select权限给scott。
grant select on dba_objects to scott;
用户scott:
用户scott新建一个存储过程p_test
create or replace procedure p_test
as
v_count number;
begin
select count(*) into v_count from dba_objects;
dbms_output.put_line(v_count);
end;
编译成功。因为这时scott具有对视图dba_objects的select权限,而且这个权限不是来自于角色。
总结:
1.authid current_user使用的是调用者的权限去运行,authid definer使用定义者的权限去运行。
2.角色在authid definer的存储过程中是disabled。
3.存储过程编译时角色也是disabled,并且不验证动态SQL的权限。
4.以上也适用于函数、触发器,即命名的PL/SQL块。