萬盛學電腦網

 萬盛學電腦網 >> 數據庫 >> oracle教程 >> Oracle數據庫視圖與權限問題

Oracle數據庫視圖與權限問題

   有三個用戶test1,test2,test3, 三個用戶都具有DBA色色權限。

  用TEST1用戶創建一個表T1,並將其查詢權限授予TEST2:

  SQL> create table t1 as select * from all_objects;

  表已創建。

  SQL> grant select on t1 to test2;

  授權成功。

  SQL> create table t1 as select * from all_objects;

  表已創建。

  SQL> grant select on t1 to test2;

  授權成功。

  用TEST2用戶創建一個視圖,視圖的基表是TEST1.T1,並將查詢權限授予TEST3:

  SQL> create view v_t1 as select * from test1.t1;

  視圖已建立。

  SQL> grant select on v_t1 to test3;

  授權成功。

  SQL> create view v_t1 as select * from test1.t1;

  視圖已建立。

  SQL> grant select on v_t1 to test3;

  授權成功。

  TEST3用戶查詢視圖TEST2.V_T1:

  SQL> select * from test2.v_t1 where rownum<1;

  select * from test2.v_t1 where rownum<1

  *

  ERROR 位於第 1 行:

  ORA-01031: 權限不足

  SQL> select * from test2.v_t1 where rownum<1;

  select * from test2.v_t1 where rownum<1

  *

  ERROR 位於第 1 行:

  ORA-01031: 權限不足

  可以看到報了權限不足的錯誤,就算這裡TEST3用戶有DBA權限。

  這到底是怎麼回事呢?

  其實視圖的權限,有兩點需要引起注意:

  1. 視圖中,類似於定義者權限的存儲過程,是屏蔽了角色權限的。比如如果TEST1沒有顯式地將T1表的SELECT權限給予TEST2,那麼TEST2在創建視圖V_T1時也會報ORA-01031錯誤,即使TEST2用戶擁有DBA角色權限。

  2.如果在用戶A的視圖中,引用了其他用戶B的表,用戶A將視圖的訪問權限給予用戶C,那麼就變相地將用戶B的表的訪問權限給予了用戶C,因此,用戶A必須有將用戶B的表的訪問權限轉授用戶C的權限,也就是用戶B在授予A權限時,必須使用with grant option。

  顯然這裡正是由於第2點的原因,導致用戶TEST3不能訪問視圖。用戶TEST1執行下面的操作,將解決這個問題:

  SQL> grant select on t1 to test2 with grant option;

  授權成功。

  SQL> grant select on t1 to test2 with grant option;

  授權成功。

  對於視圖的UPDATE,DELETE權限,同樣是如此。

  在測試時,有一個現象,有點意思。就是如果用戶TEST2沒有顯式地把V_T1的SELECT權限授予TEST3,而TEST3在有SELECT ANY TABLE或DBA權限時,則查詢這個視圖時不會報權限不足的錯誤。由於有SELECT ANY TABLE權限的存在,所有的用戶表都可以被訪問。但是顯式授予表的權限時,似乎表的權限有更高的優先級,並且沒有跟系統權限和角色權限進行結合。或者版本不同,表現得不一樣,在我的測試中,是Oracle 9.2.0.8 for Windows。

copyright © 萬盛學電腦網 all rights reserved