转载

oracle存储过程中authid current_user和authid definer

以下举例说明,authid current_userauthid definer的一些差别。

DB Version :11.2.0.4

举例1

用户system:

用户system新建一个存储过程p_test,这里authid current_user

create or replace procedure p_test

authid current_user

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

用户system授权scott有执行这个存储过程system.p_test的权限。

grant execute on system.p_test to scott;

用户scott:

用户scott执行存储过程system.p_test

begin

  system.p_test;

end;

报错,表或视图不存在,因为没权限select视图dba_objects

ORA-00942: table or view does not exist

ORA-06512: at "SYSTEM.P_TEST", line 6

ORA-06512: at line 2

用户system:

用户system新建一个存储过程p_test,这里不指定authid,即默认的authid definer

create or replace procedure p_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

用户scott:

用户scott执行存储过程system.p_test

begin

  system.p_test;

end;

执行成功。authid definer是使用定义者的权限去运行的,systemselect dba_objects的权限,所执行成功。

 

举例2

用户system:

用户system新建一个存储过程p_test2,这里不指定authid,即默认的authid definer

create or replace procedure p_test2

 as

  begin

  execute immediate 'create table scott.tb_01 as select * from dual';

end;

用户system执行存储过程system.p_test

begin

  system.p_test2;

end;

报错,无权限。虽然system有执行create table scott.tb_01的权限,但这个权限是角色DBA中的权限,在authid definer的存储过程是disabled[All roles are disabled in any named PL/SQL block (stored procedure, function, or trigger) that executes with definer's rights.]

ORA-01031: insufficient privileges

ORA-06512: at "SYSTEM.P_TEST2", line 5

ORA-06512: at line 2

用户system新建一个存储过程p_test2,这里authid current_user

create or replace procedure p_test2

authid current_user

 as

  begin

  execute immediate 'create table scott.tb_01 as select * from dual';

end;

用户system执行存储过程system.p_test

begin

  system.p_test2;

end;

执行成功。authid current_user时,使用存储过程的会话的角色DBA中的权限是enabled,所以执行成功。这一点可以通过在存储过程中查看session_roles视图来验证。

执行成功。

 

举例3

用户system:

用户system授权DBA角色给scott。这里注意,scoot只有授权之后的新会话才具有DBA角色。

grant dba to scott;

用户scott:

用户scott新建一个存储过程p_test

create or replace procedure p_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

编译时报错,表或视图不存在。因为scott虽然具有DBA的角色,但在编译时,角色是disabled。这里不论authid current_user还是authid definer,因为authid属性是作用于运行时,而不是编译时。

Compilation errors for PROCEDURE SCOTT.P_TEST

Error: PL/SQL: ORA-00942: table or view does not exist

Line: 6

Text: select count(*) into v_count from dba_objects;

用户system:

--用户system授权dba_objects视图的select权限给scott

grant select on dba_objects to scott;

用户scott:

用户scott新建一个存储过程p_test

create or replace procedure p_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

编译成功。因为这时scott具有对视图dba_objectsselect权限,而且这个权限不是来自于角色。

 

总结:

1.authid current_user使用的是调用者的权限去运行,authid definer使用定义者的权限去运行。

2.角色在authid definer的存储过程中是disabled

3.存储过程编译时角色也是disabled,并且不验证动态SQL的权限。

4.以上也适用于函数、触发器,即命名的PL/SQL块。

正文到此结束
Loading...