使用Oracle PL / SQL存储过程授予其他用户表的权限

时间:2013-09-03 17:57:15

标签: sql oracle stored-procedures plsql

我遇到了执行以下操作的应用程序的问题:

  • PL / SQL包'A'包含应用程序的所有功能/过程
  • 'A'归'USER_A'所有
  • 'A'在Oracle中创建用户帐户,并在这些用户下创建表
  • 'A'还必须能够TRUNCATE / INSERT到用户的表格

注意 - 所有创建的表都在低安全性表空间内,我们称之为“MY_TS”。 虽然此包在每个新用户的模式中创建用户和表,但“A”没有INSERT到这些表的权限,或截断它们。 (在Oracle中默认?)

我正在尝试解决这个问题的两种方法是:

  1. 将GRANT语句回显到命令行调用sqlplus以作为新用户登录并向USER_A发出GRANT ALL ON [table],或
  2. 创建一个由具有DBA权限的帐户创建和拥有的单独过程(称为“B”)。此proc以“AUTHID DEFINER”运行,并在将GRANT ALL ON [table]运行到USER_A语句之前首先检查以确保表位于“MY TS”中
  3. 我遇到了方法#1的障碍。在Oracle中显然没有那么容易发出一个命令(我更多地接触SQL Server,不建议调用命令shell,但是如果你想要的话很容易!),尽管我测试了命令行字符串我正在使用完美的作品。

    对于方法#2,我编写了一个使用“AUTHID DEFINER”编译指示定义的proc'B',并由具有DBA权限的帐户编译。此proc传递表空间检查(limp security),但在执行GRANT语句时返回错误“ORA-01929:没有权限到GRANT”,该语句是使用传递给'EXECUTE IMMEDIATE'命令的动态SQL构建的。

    任何人都有任何其他方法可以提供更好的解决方案或解决方案可行的任何方法(并通过DBA)?为USER_A提供更大的一揽子权利听起来并不像是一种选择。

    感谢您的任何提示/反馈!

1 个答案:

答案 0 :(得分:1)

如果我提到在执行动态SQL(execute immediate)时不考虑通过角色获取的权限,可能会有所帮助。如果“具有DBA权限的帐户”具有某些角色的这些权限,则它们不会用于动态授权语句;您需要明确地向该帐户用户授予适当的权限。