oracle authid current_user详解1

2024-06-23 14:18

本文主要是介绍oracle authid current_user详解1,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1      以当前用户的权限执行详解


在编写PLSQL程序时,对于授权的考虑很重要。Oracle PLSQL中提供两种授权选择:

说白了 :AUTHID DEFINER 就是当时登陆的用户写的。

--AUTHID DEFINER (定义者权限):指编译存储对象的所有者。也是默认权限模式。

--AUTHID CURRENT_USER(调用者权限):指拥有当前会话权限的模式,这可能和当前登录用户相同或不同(alter session set current_schema 可以改变调用者Schema)

来看下官方的解释:

By default, stored procedures and SQL methods execute with the privileges of their owner, not their current user. Suchdefiner's rights subprograms are bound to the schema in which they reside, allowing you to refer to objects in the same schema without qualifying their names. For example, if schemas HR and OEboth have a table called departments, a procedure owned by HR can refer to departments rather than HR.departments. If user OE calls HR's procedure, the procedure still accesses the departments table owned by HR.

A more maintainable way is to use the AUTHID clause, which makes stored procedures and SQL methods execute with the privileges and schema context of the calling user. You can create one instance of the procedure, and many users can call it to access their own data.

默认情况,程序以其拥有者身份(定义者)执行。定义者权限的程序与其所在模式绑定,调用对象不需要加上模式完整名称。例如,假如模式HR和OE都有deparments表,HR拥有的程序可直接调用departments而不用HR.departments.而如果OE调用HR的程序,程序仍然调用的是HR的departments.

如果希望不同模式(schema)调用相同的程序却可以操作各自拥有的对象,就可以在定义程序的时候加上AUTHID CURRENT_USER。

ORACLE用户具有DBA权限,却会出现无法在存储过程里面创建一张普通表的现象。因为即使用户拥有DBA权限,用户拥有的role权限在存储过程是不可用的。

遇到这种情况,通常解决方法是进行显式的权限分配: grant create table to user a;
但这种方法太麻烦,因为有可能执行一个存储过程,需要很多不同权限。
实际上,oracle给我们提供了在存储过程中使用role权限的方法:修改存储过程,加入Authid Current_User进行权限分配。

在ORACLE8i以前的版本,所有已编译存储对象,包括packages, procedures, functions, triggers, views等,只能以定义者(Definer)身份解析运行;
而ORACLE8i及其后的新版本,Oracle引入调用者(invoker)权限,使得对象可以以调用者身份和权限执行。

目前ORACLE存储过程默认都是使用定义者权限调用,以定义者身份执行;而声明Authid Current_User后则就是调用者权限,以调用者身份执行。

定义者权限:如果在user a下创建的procedure,那其他user只要能执行procedure,这个procedure所做的内容都是以user a的名义来执行的。因为user a是procedure的定义者。user a能做什么,那这个procedure就能做什么。
调用者权限:如果在user a下创建的procedure,那其他user只要能执行procedure,这个procedure所做的内容都是以当前user的名义来做的。如果某个table只有user a有权限建,那这个procedure在user a下面才执行成功。其他user下是不成功的。

而Authid Current_User即是以拥有当前会话权限、以执行过程的用户的权限来处理涉及的对象权限。

在Oracle的存储过程中,如果涉及到操作不同schema下的对象的时候,可以在不同的schema下写相同的procedure,但这样带來的问题是维护和同步麻烦,
在procedure中加上authid current_user,来说明procedure中操作的对象是当前连接用户的对象而并不是procedure所属用户下的对象。

但如果该过程的调用者(而非定义者)被授与系统权限execute any procedure  或是被该过程的定义者grant execute on授权的话,不用authid current_user子句,调用者照样可以使用这个过程。

下面举例说明2中授权机制:

---------------------------------------------------------------

?
1
C:\Users\Administrator>sqlplus sys/oracle @orcl as sysdba
查看一下sys模式下user_tables表记录数:
?
1
2
3
4
5
sys @ORCL > select count(*) from user_tables;
   COUNT(*)
----------
        972
创建2个对比函数:

get_count is default auth mode. When another user calls this function it will use SYS's user_tables

?
1
2
3
4
5
6
7
8
9
10
sys @ORCL > CREATE OR REPLACE FUNCTION get_count RETURN NUMBER AUTHID DEFINER IS
   2      table_count NUMBER;
   3    BEGIN
   4      SELECT COUNT(*) INTO table_count FROM user_tables;
   5
   6      RETURN table_count;
   7    END;
   8    /
函数已创建。

get_count2 is CURRENT_USER auth mode. When another user calls this function it will use its user_tables

?
1
2
3
4
5
6
7
8
9
10
11
sys @ORCL >  CREATE OR REPLACE FUNCTION get_count2 RETURN NUMBER AUTHID CURRE
NT_USER IS
   2      table_count NUMBER;
   3    BEGIN
   4      SELECT COUNT(*) INTO table_count FROM user_tables;
   5
   6      RETURN table_count;
   7    END;
   8    /
函数已创建。

下面进行授权操作:

?
1
2
3
4
5
6
7
sys @ORCL > grant execute on get_count to hr;
授权成功。
sys @ORCL > grant execute on get_count2 to hr;
授权成功。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
sys @ORCL > conn hr/hr;
已连接。
hr @ORCL > SELECT sys.get_count FROM dual;
  GET_COUNT
----------
        972
hr @ORCL > SELECT sys.get_count2 FROM dual;
GET_COUNT2
----------
          7

结果一目了然。

定义者权限模式确保我们能控制对集中式DML操作。
而调用者权限模式则确保我们能控制对分布式数据的DML操作。


这篇关于oracle authid current_user详解1的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1087389

相关文章

一文详解SpringBoot中控制器的动态注册与卸载

《一文详解SpringBoot中控制器的动态注册与卸载》在项目开发中,通过动态注册和卸载控制器功能,可以根据业务场景和项目需要实现功能的动态增加、删除,提高系统的灵活性和可扩展性,下面我们就来看看Sp... 目录项目结构1. 创建 Spring Boot 启动类2. 创建一个测试控制器3. 创建动态控制器注

C#读写文本文件的多种方式详解

《C#读写文本文件的多种方式详解》这篇文章主要为大家详细介绍了C#中各种常用的文件读写方式,包括文本文件,二进制文件、CSV文件、JSON文件等,有需要的小伙伴可以参考一下... 目录一、文本文件读写1. 使用 File 类的静态方法2. 使用 StreamReader 和 StreamWriter二、二进

Conda与Python venv虚拟环境的区别与使用方法详解

《Conda与Pythonvenv虚拟环境的区别与使用方法详解》随着Python社区的成长,虚拟环境的概念和技术也在不断发展,:本文主要介绍Conda与Pythonvenv虚拟环境的区别与使用... 目录前言一、Conda 与 python venv 的核心区别1. Conda 的特点2. Python v

Spring Boot中WebSocket常用使用方法详解

《SpringBoot中WebSocket常用使用方法详解》本文从WebSocket的基础概念出发,详细介绍了SpringBoot集成WebSocket的步骤,并重点讲解了常用的使用方法,包括简单消... 目录一、WebSocket基础概念1.1 什么是WebSocket1.2 WebSocket与HTTP

java中反射Reflection的4个作用详解

《java中反射Reflection的4个作用详解》反射Reflection是Java等编程语言中的一个重要特性,它允许程序在运行时进行自我检查和对内部成员(如字段、方法、类等)的操作,本文将详细介绍... 目录作用1、在运行时判断任意一个对象所属的类作用2、在运行时构造任意一个类的对象作用3、在运行时判断

MySQL 中的 CAST 函数详解及常见用法

《MySQL中的CAST函数详解及常见用法》CAST函数是MySQL中用于数据类型转换的重要函数,它允许你将一个值从一种数据类型转换为另一种数据类型,本文给大家介绍MySQL中的CAST... 目录mysql 中的 CAST 函数详解一、基本语法二、支持的数据类型三、常见用法示例1. 字符串转数字2. 数字

SpringBoot中SM2公钥加密、私钥解密的实现示例详解

《SpringBoot中SM2公钥加密、私钥解密的实现示例详解》本文介绍了如何在SpringBoot项目中实现SM2公钥加密和私钥解密的功能,通过使用Hutool库和BouncyCastle依赖,简化... 目录一、前言1、加密信息(示例)2、加密结果(示例)二、实现代码1、yml文件配置2、创建SM2工具

MyBatis-Plus 中 nested() 与 and() 方法详解(最佳实践场景)

《MyBatis-Plus中nested()与and()方法详解(最佳实践场景)》在MyBatis-Plus的条件构造器中,nested()和and()都是用于构建复杂查询条件的关键方法,但... 目录MyBATis-Plus 中nested()与and()方法详解一、核心区别对比二、方法详解1.and()

Spring IoC 容器的使用详解(最新整理)

《SpringIoC容器的使用详解(最新整理)》文章介绍了Spring框架中的应用分层思想与IoC容器原理,通过分层解耦业务逻辑、数据访问等模块,IoC容器利用@Component注解管理Bean... 目录1. 应用分层2. IoC 的介绍3. IoC 容器的使用3.1. bean 的存储3.2. 方法注

MySQL 删除数据详解(最新整理)

《MySQL删除数据详解(最新整理)》:本文主要介绍MySQL删除数据的相关知识,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录一、前言二、mysql 中的三种删除方式1.DELETE语句✅ 基本语法: 示例:2.TRUNCATE语句✅ 基本语