AUTHID CURRENT_USER的作用是什么?
♣ 答案部分
这里首先需要明白定义者权限和调用者权限的区别。
定义者权限(Difiner Right):定义者权限是程序的默认权限。如果是在用户A下创建的程序,但其他用户只要能执行这个程序,那么这个程序所执行的任务都是以用户A的名义来执行的。因为用户A是程序的定义者。用户A能做什么,那这个程序就能做什么。
调用者权限(Invoker Right):也叫执行者权限。如果某个程序中含有创建表的操作,且这个表只有用户A有创建权限,那么这个程序在用户A下面才执行成功,在其他用户下是不能成功执行的。
程序中没有AUTHID CURRENT_USER表示定义者权限,以定义者身份执行;程序中加上AUTHID CURRENT_USER表示调用者权限,以调用者身份执行。
调用者权限与定义者权限之间的差异主要体现在三个方面:
1、执行的SCHEMA不同,操作的对象也不同
l 在定义者权限下,执行的用户为定义者,所操作的对象是定义者在编译时指定的对象。
l 在调用者权限下,执行的用户为当前用户,所操作的对象是当前模式下的对象。
2、执行的权限不同
l 在定义者权限下,当前用户的权限为角色无效情况下所拥有的权限。
l 在调用者权限下,当前用户的权限为当前所拥有的权限(含角色)。
3、执行的效率不同
l 在定义者权限下,过程被静态编译静态执行,所执行SQL语句在共享区池中是可被共享使用的。
l 在调用者权限下,过程静态编译,但动态执行,虽然执行的语句相同,但不同用户执行,其SQL语句在共享池中并不能共享。
在Oracle 8i以前的版本中,所有已编译存储对象,包括PACKAGES、PROCEDURES、FUNCTIONS、TRIGGERS、VIEWS等,只能以定义者(Definer)身份解析运行。而从Oracle 8i开始,Oracle引入调用者(Invoker)权限,使得对象可以以调用者身份和权限执行。目前Oracle存储过程默认都是使用定义者权限调用,以定义者身份执行;而声明AUTHID CURRENT_USER后则是调用者权限,以调用者身份执行。
为PL/SQL启用调用者权限的语法是:
[AUTHID { CURRENT_USER|DEFINER}]
如果忽略AUTHID子句,那么默认的是定义者权限。
以下举一个例子:
CREATE USER LHR IDENTIFIED BY LHR;
GRANT DBA TO LHR;
SELECT * FROM USER_ROLE_PRIVS;
可以看到用户LHR拥有DBA这个角色,再创建一个测试存储过程:
CREATE OR REPLACE PROCEDURE P_CREATE_TABLE IS
BEGIN
EXECUTE IMMEDIATE 'CREATE TABLE CREATE_TABLE(ID INT)';
END P_CREATE_TABLE;
然后执行存储过程:
SQL> exec p_create_table
begin p_create_table; end;
ORA-01031: 权限不足
ORA-06512: 在 "LHR.P_CREATE_TABLE", line 3
ORA-06512: 在 line 2
可以看到,即使用户LHR拥有DBA角色也不能创建表,因为角色(Role)权限在存储过程中不可用。下面修改存储过程,加入AUTHID CURRENT_USER时存储过程可以使用角色权限。
CREATE OR REPLACE PROCEDURE P_CREATE_TABLE AUTHID CURRENT_USER IS
BEGIN
EXECUTE IMMEDIATE 'CREATE TABLE CREATE_TABLE(ID INT)';
END P_CREATE_TABLE;
再次尝试执行:
SQL> exec p_create_table;
PL/SQL procedure successfully completed
Executed in 0.078 seconds
