以下举例说明,authid current_user和authid definer的一些差别。
DB Version :11.2.0.4
举例1:
用户system:
用户system新建一个存储过程p_test,这里authid current_user
用户system授权scott有执行这个存储过程system.p_test的权限。
用户scott:
用户scott执行存储过程system.p_test
报错,表或视图不存在,因为没权限select视图dba_objects。
用户system:
用户system新建一个存储过程p_test,这里不指定authid,即默认的authid definer。
用户scott:
用户scott执行存储过程system.p_test
执行成功。authid definer是使用定义者的权限去运行的,system有select dba_objects的权限,所执行成功。
举例2:
用户system:
用户system新建一个存储过程p_test2,这里不指定authid,即默认的authid definer
用户system执行存储过程system.p_test
报错,无权限。虽然system有执行create table scott.tb_01的权限,但这个权限是角色DBA中的权限,在authid definer的存储过程是disabled。[All roles are disabled in any named PL/SQL block (stored procedure, function, or trigger) that executes with definer's rights.]
用户system新建一个存储过程p_test2,这里authid current_user
用户system执行存储过程system.p_test
执行成功。authid current_user时,使用存储过程的会话的角色DBA中的权限是enabled,所以执行成功。这一点可以通过在存储过程中查看session_roles视图来验证。
执行成功。
举例3:
用户system:
用户system授权DBA角色给scott。这里注意,scoot只有授权之后的新会话才具有DBA角色。
用户scott:
用户scott新建一个存储过程p_test
编译时报错,表或视图不存在。因为scott虽然具有DBA的角色,但在编译时,角色是disabled。这里不论authid current_user还是authid definer,因为authid属性是作用于运行时,而不是编译时。
用户system:
--用户system授权dba_objects视图的select权限给scott。
用户scott:
用户scott新建一个存储过程p_test
编译成功。因为这时scott具有对视图dba_objects的select权限,而且这个权限不是来自于角色。
总结:
1.authid current_user使用的是调用者的权限去运行,authid definer使用定义者的权限去运行。
2.角色在authid definer的存储过程中是disabled。
3.存储过程编译时角色也是disabled,并且不验证动态SQL的权限。
4.以上也适用于函数、触发器,即命名的PL/SQL块。