ORACLE用户具有DBA权限,却会出现无法在存储过程里面创建一张普通表的现象。
因为即使用户拥有DBA权限,用户拥有的role权限在存储过程是不可用的。
遇到这种情况,通常解决方法是进行显式的权限分配: grant create table to user a;
但这种方法太麻烦,因为有可能执行一个存储过程,需要很多不同权限。
实际上,oracle给我们提供了在存储过程中使用role权限的方法:修改存储过程,加入Authid Current_User进行权限分配。
在ORACLE8i以前的版本,所有已编译存储对象,包括packages, procedures, functions, triggers, views等,只能以定义者(Definer)身份解析运行;
而ORACLE8i及其后的新版本,Oracle引入调用者(invoker)权限,使得对象可以以调用者身份和权限执行。
目前ORACLE存储过程默认都是使用定义者权限调用,以定义者身份执行;而声明Authid Current_User后则就是调用者权限,以调用者身份执行。
定义者权限:如果在user a下创建的procedure,那其他user只要能执行procedure,这个procedure所做的内容都是以user a的名义来执行的。因为user a是procedure的定义者。user a能做什么,那这个procedure就能做什么。
调用者权限:如果在user a下创建的procedure,那其他user只要能执行procedure,这个procedure所做的内容都是以当前user的名义来做的。如果某个table只有user a有权限建,那这个procedure在user a下面才执行成功。其他user下是不成功的。
而Authid Current_User即是以拥有当前会话权限、以执行过程的用户的权限来处理涉及的对象权限。
在Oracle的存储过程中,如果涉及到操作不同schema下的对象的时候,可以在不同的schema下写相同的procedure,但这样带來的问题是维护和同步麻烦,
在procedure中加上authid current_user,来说明procedure中操作的对象是当前连接用户的对象而并不是procedure所属用户下的对象。
但如果该过程的调用者(而非定义者)被授与系统权限execute any procedure 或是被该过程的定义者grant execute on授权的话,不用authid current_user子句,调用者照样可以使用这个过程。
遇到这种情况,通常解决方法是进行显式的权限分配: grant create table to user a;
但这种方法太麻烦,因为有可能执行一个存储过程,需要很多不同权限。
实际上,oracle给我们提供了在存储过程中使用role权限的方法:修改存储过程,加入Authid Current_User进行权限分配。
在ORACLE8i以前的版本,所有已编译存储对象,包括packages, procedures, functions, triggers, views等,只能以定义者(Definer)身份解析运行;
而ORACLE8i及其后的新版本,Oracle引入调用者(invoker)权限,使得对象可以以调用者身份和权限执行。
目前ORACLE存储过程默认都是使用定义者权限调用,以定义者身份执行;而声明Authid Current_User后则就是调用者权限,以调用者身份执行。
定义者权限:如果在user a下创建的procedure,那其他user只要能执行procedure,这个procedure所做的内容都是以user a的名义来执行的。因为user a是procedure的定义者。user a能做什么,那这个procedure就能做什么。
调用者权限:如果在user a下创建的procedure,那其他user只要能执行procedure,这个procedure所做的内容都是以当前user的名义来做的。如果某个table只有user a有权限建,那这个procedure在user a下面才执行成功。其他user下是不成功的。
而Authid Current_User即是以拥有当前会话权限、以执行过程的用户的权限来处理涉及的对象权限。
在Oracle的存储过程中,如果涉及到操作不同schema下的对象的时候,可以在不同的schema下写相同的procedure,但这样带來的问题是维护和同步麻烦,
在procedure中加上authid current_user,来说明procedure中操作的对象是当前连接用户的对象而并不是procedure所属用户下的对象。
但如果该过程的调用者(而非定义者)被授与系统权限execute any procedure 或是被该过程的定义者grant execute on授权的话,不用authid current_user子句,调用者照样可以使用这个过程。