oracle11g之ACL拙見

 　　錯誤樣例(使用UTL_HTTP發送http請求時，報出如下錯誤)：

　　原因：

　　1、Oracle允許使用幾個PL/SQL API(UTL_TCP， UTL_SMTP， UTL_MAIL， UTL_HTTP和 UTL_INADDR)訪問外部網絡服務，這些API都使用TCP協議。

　　2、在Oracle 10g是通過一個基於用戶是否被授予執行某個包的許可的 on/off開關來實現的，Oracle 11g引入了細粒度訪問網絡服務.

　　3、通過在XML DB 數據庫中使用訪問控制列表(ACL)來實現，允許控制哪個用戶能夠訪問哪個網絡資源，而不關心包的授權。

　　解決辦法：

　　-- 查詢網絡訪問控制列表 acl

?

1 Select * From  dba_network_acls

　　-- 查詢訪問控制權限列表

?

1 Select * From  dba_network_acl_privileges

　　-- 查詢數據庫中的用戶，用戶名大小寫敏感

?

1 Select username From dba_users Where username Like '%ITS%'

　　分配acl權限，執行如下sql語句：

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 begin   dbms_network_acl_admin.create_acl (       -- 創建訪問控制文件（ACL）     acl         => 'utl_http.xml',          -- 文件名稱     description => 'HTTP Access',           -- 描述     principal   => 'ITS',                   -- 授權或者取消授權賬號，大小寫敏感     is_grant    => TRUE,                    -- 授權還是取消授權     privilege   => 'connect',               -- 授權或者取消授權的權限列表     start_date  => null,                    -- 起始日期     end_date    => null                     -- 結束日期   );     dbms_network_acl_admin.add_privilege (    -- 添加訪問權限列表項     acl        => 'utl_http.xml',           -- 剛才創建的acl名稱     principal  => 'ITS',                    -- 授權或取消授權用戶     is_grant   => TRUE,                     -- 與上同     privilege  => 'resolve',                -- 權限列表     start_date => null,                         end_date   => null   );     dbms_network_acl_admin.assign_acl (       -- 該段命令意思是允許訪問acl名為utl_http.xml下授權的用戶，使用oracle網絡訪問包，所允許訪問的目的主機，及其端口范圍。     acl        => 'utl_http.xml',     host       => '100.1.2.1',              -- ip地址或者域名，填寫http://localhost:9000/hello與http://localhost:9000/是會報host無效的                                             -- 且建議使用ip地址或者使用域名，若用localhost，當oracle不是安裝在本機上的情況下，會出現問題     lower_port => 9000,                     -- 允許訪問的起始端口號     upper_port => Null                      -- 允許訪問的截止端口號   );   commit; end;   begin   dbms_network_acl_admin.assign_acl (       -- 可以授權多個主機，或者多個主機的多個端口     acl        => 'utl_http.xml',     host       => '10.100.49.138',     lower_port => 80,     upper_port => NUll   );   commit; end;   請求測試：

?

1 select utl_http.request('http://localhost:9000/hello?wsdl') From dual;

　　若出現no listener，是因為授權主機時不能寫localhost，應該寫ip地址或者域名，如下圖：

　　移除acl和權限控制

　　撤銷分配acl到hostacl -- 與assign對應

?

1 2 3 4 5 6 7 8 9 10 11 12 begin   dbms_network_acl_admin.unassign_acl(       acl        => 'utl_http.xml',     host       => '100.1.2.1',                               &