我遇到了执行以下操作的应用程序的问题:
- PL/SQL 包“A”包含应用程序的所有函数/过程
- “A”由“USER_A”拥有
- 'A' 在 Oracle 中创建用户帐户,并在这些用户下创建表
- “A”还必须能够 TRUNCATE/INSERT 到用户的表
注意 - 所有创建的表都位于低安全性表空间内,我们将其称为“MY_TS”。
尽管此包在每个新用户的架构中创建用户和表,但“A”无权插入这些表或截断它们。 (Oracle 中的默认值?)
我正在尝试解决这个问题的两种方法是:
- 将 GRANT 语句回显到对 sqlplus 的命令行调用中,以新用户身份登录并向 USER_A 发出 GRANT ALL ON [table],或者
- 创建一个由具有 DBA 权限的帐户创建和拥有的单独过程(称为“B”)。该过程使用“AUTHID DEFINER”运行,并在运行 GRANT ALL ON [table] to USER_A 语句之前首先检查以确保该表位于“MY TS”中
我在方法#1 中遇到了障碍。显然,在 Oracle 中执行命令并不是那么容易(我对 SQL Server 有更多的了解,不建议调用命令 shell,但如果你愿意的话很容易!),尽管我对命令行字符串进行了测试我正在使用完美的作品。
对于方法#2,我编写了一个过程“B”,它是用“AUTHID DEFINER”编译指示定义的,并由具有 DBA 权限的帐户编译。该过程通过了表空间检查(跛行安全性),但在执行使用传递到“EXECUTE IMMEDIATE”命令的动态 SQL 构建的 GRANT 语句时返回错误“ORA-01929:无权限授予”。
有人对另一种更有效的方法有任何建议,或者对任一有效的方法有任何解决方案(并通过了 DBA)吗?向 USER_A 授予更大的一揽子权利听起来似乎不是一个选择。
感谢您的任何提示/反馈!
Dan
如果我提到在执行动态 SQL 时不考虑通过角色获得的权限,可能会有所帮助(execute immediate
)。如果“具有 DBA 权限的帐户”拥有某些角色的这些权限,它们将不会用于您的动态授予语句;您需要明确地向该帐户用户授予适当的权限。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)