本帖最后由 万望 于 2016-1-5 01:33 编辑
如何授予某个用户只能查看某些存储过程的定义权限,而不能让用户去修改、执行存储过程。看似简单的问题,却因为从没有碰到这样的需求。 关于ORACLE账号的权限问题,一般分为两种权限: 系统权限: 允许用户执行特定的数据库动作,如创建表、创建索引、创建存储过程等 对象权限: 允许用户操纵一些特定的对象,如读取视图,可更新某些列、执行存储过程等 像这种查看存储过程定义的权限为对象权限,但是我们还是首先来看看关于存储过程的系统权限吧: - PRIVILEGE NAME PROPERTY
-
- --------- ---------------------------------------- ----------
-
- -140 CREATE PROCEDURE 0
-
- -141 CREATE ANY PROCEDURE 0
-
- -142 ALTER ANY PROCEDURE 0
-
- -143 DROP ANY PROCEDURE 0
-
- -144 EXECUTE ANY PROCEDURE 0
-
- -241 DEBUG ANY PROCEDURE 0
如上所示,关于存储过程的系统权限一般有六种: CREATE PROCEDURE、CREATE ANY PROCEDURE、 ALTER ANY PROCEDURE、DROP ANY PROCEDURE、 EXECUTE ANY PROCEDURE、DEBUG ANY PROCEDURE. 那么关于存储过程的对象权限又有那些呢? 如下例子所示,在用户ESCMUSER下创建存储过程PROC_TEST - CREATE OR REPLACE PROCEDURE ESCMUSER.PROC_TEST
-
- AS
-
- BEGIN
-
- DBMS_OUTPUT.PUT_LINE('It is only test');
-
- END;
使用system用户创建用户TEMP,如下所示 - SQL> create user temp identified by temp;
-
- User created.
-
- SQL> grant connect,resource to temp;
-
- Grant succeeded.
在用户ESCMUSER下将存储过程PROC_TEST的所有权限授予给用户TEMP。 那么我们发现存储过程的对象权限只有EXECUTE、DEBUG权限 - SQL> COL GRANTEE FOR A12;
-
- SQL> COL TABLE_NAME FOR A30;
-
- SQL> COL GRANTOR FOR A12;
-
- SQL> COL PRIVILEGE FOR A8;
-
- SQL> SELECT * FROM USER_TAB_PRIVS_MADE WHERE GRANTEE='TEMP';
-
-
- GRANTEE TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-
- ---------- --------------------- ------------ --------------------------- --- ---
-
- TEMP PROC_TEST ESCMUSER DEBUG NO NO
-
- TEMP PROC_TEST ESCMUSER EXECUTE NO NO
-
-
- SQL>
将存储过程PORC_TEST的权限从TEMP用户收回,然后授予用户TEMP关于存储过程PROC_TEST的DEBUG权限
- SQL>REVOKE ALL ON PROC_TEST FROM TEMP;
-
- SQL>GRANT DEBUG ON PROC_TEST TO TEMP;
那么TEMP用户此时执行存储过程报权限不足
- SQL> SET SERVEROUT ON;
-
- SQL> EXEC escmuser.proc_test;
-
- begin escmuser.proc_test; end;
-
- ORA-06550: line 2, column 16:
-
- PLS-00904: insufficient privilege to access object ESCMUSER.PROC_TEST
-
- ORA-06550: line 2, column 7:
-
- PL/SQL: Statement ignored
此时,如果修改存储过程PROC_TEST就会ORA-01031权限不足问题。但是你可以在PL/SQL Developer工具或使用下面视图查看存储过程的定义。如下所示。 SELECT * FROM ALL_SOURCE WHERE NAME='PROC_TEST' 所以,只需要授予存储过程的DEBUG权限给某个用户,就可以实现只授予用户查看存储过程定义的权限,而限制用户修改、执行存储过程。从而达到只授权用户查看存储过程定义的权限。
|