概述:都是在工作中,边工作边学习。有的是因为遇到问题,进行总结;有的是看书学习到的。

 针对authid current_user和authid definer的区别:

在编写PLSQL程序时,对于授权的考虑很重要。ORACLE PLSQL中提供两种授权选择:

--AUTHID DEFINER (定义者权限):指编译存储对象的所有者。也是默认权限模式。

--AUTHID CURRENT_USER(调用者权限):指拥有当前会话权限的模式,这可能和当前登录用户相同或不同(alter session set current_schema 可以改变调用者Schema)

一般情况下,编写PLSQL程序,都是默认权限模式的。 

 

  •  案例1

 

用户sys:

用户sys新建一个存储过程PRC_TEST,这里authid current_user

create or replace procedure prc_test

authid current_user

as

 v_count number;

begin

select count(*) into v_count from dba_objects;

 dbms_output.put_line(v_count);

end;

postgresql 授予管理员权限_oracle

 用户sys授权scott有执行这个存储过程sys.prc_test的权限。

grant execute on sys.prc_test to scott;

用户scott:

用户scott执行存储过程sys.prc_test

begin

  sys.prc_test;

end;

 报错:表或视图不存在。

postgresql 授予管理员权限_postgresql 授予管理员权限_02

postgresql 授予管理员权限_postgresql 授予管理员权限_03

 

 这里面是因为scott没有dba_objects的访问权限。

postgresql 授予管理员权限_plsql_04

用户sys:

用户sys新建一个存储过程prc_test,这里不指定authid,即默认的authid definer。

create or replace procedure prc_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

用户scott:

用户scott执行存储过程sys.prc_test

begin

 sys.prc_test;

end;

postgresql 授予管理员权限_PLSQL_05

 执行成功。authid definer是使用定义者的权限去运行的,sys有select dba_objects的权限,所执行成功。

  •  案例2:

用户system:

用户system新建一个存储过程prc_test2,这里不指定authid,即默认的authid definer

create or replace procedure prc_test2

 as

  begin

  execute immediate 'create table scott.tb_01 as select * from dual';

end;

 用户system执行存储过程system.prc_test2

begin

  system.prc_test2;

end;

postgresql 授予管理员权限_存储过程_06

 报错,无权限。虽然system有执行create table scott.tb_01的权限,但这个权限是角色DBA中的权限,在authid definer的存储过程是disabled。

用户system新建一个存储过程p_test2,这里authid current_user:

create or replace procedure prc_test2

authid current_user

 as

  begin

  execute immediate 'create table scott.tb_01 as select * from dual';

end;

 用户system执行存储过程system.prc_test2:

begin

  system.prc_test2;

end;

postgresql 授予管理员权限_oracle_07

 执行成功。authid current_user时,使用存储过程的会话的角色DBA中的权限是enabled,所以执行成功。这一点可以通过在存储过程中查看session_roles视图来验证。

  • 案例3:

用户system:

用户system授权DBA角色给scott。这里注意,scoot只有授权之后的新会话才具有DBA角色。

grant dba to scott;

用户scott:

用户scott新建一个存储过程prc_test

create or replace procedure prc_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

 

postgresql 授予管理员权限_postgresql 授予管理员权限_08

编译时报错,表或视图不存在。因为scott虽然具有DBA的角色,但在编译时,角色是disabled。这里不论authid current_user还是authid definer,因为authid属性是作用于运行时,而不是编译时。

postgresql 授予管理员权限_postgresql 授予管理员权限_09

 

postgresql 授予管理员权限_oracle_10

用户system:

--用户system授权dba_objects视图的select权限给scott。

grant select on dba_objects to scott;(如果system没权限授权的话,记得用sys)

用户scott:

用户scott新建一个存储过程prc_test

create or replace procedure prc_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

postgresql 授予管理员权限_PLSQL_11

 编译成功。因为这时scott具有对视图dba_objects的select权限,而且这个权限不是来自于角色。

最后总结一下:

1.authid current_user使用的是调用者的权限去运行,authid definer使用定义者的权限去运行。

2.角色在authid definer的存储过程中是disabled。

3.存储过程编译时角色也是disabled,并且不验证动态SQL的权限。

4.以上也适用于函数、触发器,即命名的PL/SQL块。

 供参考。