有个网友问我,如何授予某个用户只能查看某些存储过程的定义权限,而不能让用户去修改、执行存储过程。看似简单的问题,却因为从没有碰到这样的需求。花了点时间才梳理、总结清楚。

关于ORACLE账号的权限问题,一般分为两种权限:

          

      系统权限: 允许用户执行特定的数据库动作,如创建表、创建索引、创建存储过程等

      对象权限: 允许用户操纵一些特定的对象,如读取视图,可更新某些列、执行存储过程等

像这种查看存储过程定义的权限为对象权限,但是我们还是首先来看看关于存储过程的系统权限吧:



SQL> SELECT * FROM SYSTEM_PRIVILEGE_MAP WHERE NAME LIKE '%PROCEDURE%';



 



PRIVILEGE NAME                                       PROPERTY



---------- ---------------------------------------- ----------
-140 CREATE PROCEDURE                                  0
-141 CREATE ANY PROCEDURE                              0
-142 ALTER ANY PROCEDURE                               0
-143 DROP ANY PROCEDURE                                0
-144 EXECUTE ANY PROCEDURE                             0
-241 DEBUG ANY PROCEDURE                               0



 



6 rows selected.



如上所示,关于存储过程的系统权限一般有六种: CREATE PROCEDURE、CREATE ANY PROCEDURE、 ALTER ANY PROCEDURE、DROP ANY PROCEDURE、 EXECUTE ANY PROCEDURE、DEBUG ANY PROCEDURE. 那么关于存储过程的对象权限又有那些呢? 如下例子所示,在用户ESCMUSER下创建存储过程PROC_TEST



CREATE OR REPLACE PROCEDURE ESCMUSER.PROC_TEST
AS
BEGIN
DBMS_OUTPUT.PUT_LINE('It is only test');
END;



使用system用户创建用户TEMP,如下所示



SQL> create user temp identified by temp;



 



User created.



 



SQL> grant connect,resource to temp;



 



Grant succeeded.



在用户ESCMUSER下将存储过程PROC_TEST的所有权限授予给用户TEMP。 那么我们发现存储过程的对象权限只有EXECUTE、DEBUG权限

SQL> GRANT ALL ON PROC_TEST TO TEMP;



 



SQL> COL GRANTEE FOR A12;
SQL> COL TABLE_NAME FOR A30;
SQL> COL GRANTOR FOR A12;
SQL> COL PRIVILEGE FOR A8;
SQL> SELECT * FROM USER_TAB_PRIVS_MADE WHERE GRANTEE='TEMP';



 



GRANTEE      TABLE_NAME              GRANTOR      PRIVILEGE               GRA HIE



---------- --------------------- ------------ --------------------------- --- ---
TEMP         PROC_TEST                ESCMUSER     DEBUG                   NO  NO
TEMP         PROC_TEST                ESCMUSER     EXECUTE                 NO  NO



 



SQL>



将存储过程PORC_TEST的权限从TEMP用户收回,然后授予用户TEMP关于存储过程PROC_TEST的DEBUG权限



SQL>REVOKE ALL ON PROC_TEST FROM TEMP;



 



SQL>GRANT DEBUG ON PROC_TEST TO TEMP;



那么TEMP用户此时执行存储过程报权限不足



SQL> SET SERVEROUT ON;
SQL> EXEC escmuser.proc_test;



 



begin escmuser.proc_test; end;



 



ORA-06550: line 2, column 16:
PLS-00904: insufficient privilege to access object ESCMUSER.PROC_TEST
ORA-06550: line 2, column 7:
PL/SQL: Statement ignored



此时,如果修改存储过程PROC_TEST就会ORA-01031权限不足问题。但是你可以在PL/SQL Developer工具或使用下面视图查看存储过程的定义。如下所示。



SELECT * FROM ALL_SOURCE WHERE NAME='PROC_TEST'



所以,只需要授予存储过程的DEBUG权限给某个用户,就可以实现只授予用户查看存储过程定义的权限,而限制用户修改、执行存储过程。从而达到只授权用户查看存储过程定义的权限。不过这样实现,总让我感觉有点怪怪的。