oracle中角色中权限剥离

角色的确是一种很方便的权限集合组织方式，在很多系统中也是广泛应用。但是在Oracle中，使用角色权限role privilege是要外小心的，特别是进行数据库开发过程中。因为Oracle存储过程等结构对角色权限有剔除效应。 【实验】 //建立实验角色r_cat_role SQL crea

角色的确是一种很方便的权限集合组织方式，在很多系统中也是广泛应用。但是在Oracle中，使用角色权限role privilege是要格外小心的，特别是进行数据库开发过程中。因为Oracle存储过程等结构对角色权限有剔除效应。

【实验】

//建立实验角色r_cat_role

SQL> create role r_cat_role ;

Role created

 

//授予系统权限select any dictionary给实验角色，select any dictionary权限可以访问到Oracle的大部分元数据视图。

SQL> grant select any dictionaryto r_cat_role;

Grant succeeded

 

//创建用户

SQL> create user  mytest  identified by mytest;

User created

 

SQL> grant create session to mytest;

Grant succeeded

 

SQL> grant r_cat_role to mytest;

Grant succeeded

 

SQL> grant create procedure to mytest;

Grant succeeded

 

SQL> conn mytest/mytest@ora11g;

Connected to Oracle Database11gEnterpriseEdition Release11.2.0.1.0

Connected as mytest

 

SQL> select count(*) fromdba_objects;

 

 COUNT(*)

----------

    72282

 

dba_objects视图是元数据字典的一个组成部分。mytest用户在接受角色权限r_cat_role之后，具有了在SQL中直接使用的权限。下面我们构造存储过程如下：

 

SQL> create or replace procedure P_TEST_NC

 2 is

 3 n_res number;

 4 begin

 5   select count(*)

 6   into n_res

 7   from dba_objects;

 8

 9   dbms_output.put_line(to_char(n_res));

 10 end P_TEST_NC;

 11 /

 

Warning: Procedure created with compilation errors

 

SQL> select * from user_errors;

 

NAME      TYPE          SEQUENCE      LINE  POSITION TEXT                                    ATTRIBUTE

---------- ------------ ---------- ---------- ---------- ---------------------------------------- ---------

P_TEST_NC PROCEDURE   1  7 8 PL/SQL: ORA-00942:表或视图不存在       ERROR   

P_TEST_NC PROCEDURE 2 5  3 PL/SQL: SQL Statement ignored           ERROR

编译报错，看起来不可思议。明明mytest用户具有dba_objects视图的访问权限，而且在SQL语句直接可以使用。我们说，就是因为访问dba_objects的权限是通过角色授予的。存储过程等Oracle代码结构具有一个特性，就是可以将用户的三层权限（role、system和object）中的role权限剥离掉。