有個網(wǎng)友問我，如何授予某個用戶只能查看某些存儲過程的定義權(quán)限，而不能讓用戶去修改、執(zhí)行存儲過程?？此坪唵蔚膯栴}，卻因為從沒有碰到這樣的需求。花了點時間才梳理、總結(jié)清楚。

關(guān)于ORACLE賬號的權(quán)限問題，一般分為兩種權(quán)限：

系統(tǒng)權(quán)限: 允許用戶執(zhí)行特定的數(shù)據(jù)庫動作，如創(chuàng)建表、創(chuàng)建索引、創(chuàng)建存儲過程等

對象權(quán)限: 允許用戶操縱一些特定的對象，如讀取視圖，可更新某些列、執(zhí)行存儲過程等

像這種查看存儲過程定義的權(quán)限為對象權(quán)限，但是我們還是首先來看看關(guān)于存儲過程的系統(tǒng)權(quán)限吧：

PRIVILEGE NAME                                       PROPERTY 
 
--------- ---------------------------------------- ---------- 
 
     -140 CREATE PROCEDURE                                  0 
 
     -141 CREATE ANY PROCEDURE                              0 
 
     -142 ALTER ANY PROCEDURE                               0 
 
     -143 DROP ANY PROCEDURE                                0 
 
     -144 EXECUTE ANY PROCEDURE                             0 
 
     -241 DEBUG ANY PROCEDURE                               0 

如上所示，關(guān)于存儲過程的系統(tǒng)權(quán)限一般有六種： CREATE PROCEDURE、CREATE ANY PROCEDURE、 ALTER ANY PROCEDURE、DROP ANY PROCEDURE、 EXECUTE ANY PROCEDURE、DEBUG ANY PROCEDURE. 那么關(guān)于存儲過程的對象權(quán)限又有那些呢? 如下例子所示，在用戶ESCMUSER下創(chuàng)建存儲過程PROC_TEST

CREATE OR REPLACE PROCEDURE ESCMUSER.PROC_TEST 
 
AS 
 
BEGIN  
 
  DBMS_OUTPUT.PUT_LINE('It is only test'); 
 
END; 

使用system用戶創(chuàng)建用戶TEMP，如下所示

SQL> create user temp identified by temp; 
 
User created. 
 
SQL> grant connect,resource to temp; 
 
Grant succeeded. 

在用戶ESCMUSER下將存儲過程PROC_TEST的所有權(quán)限授予給用戶TEMP。 那么我們發(fā)現(xiàn)存儲過程的對象權(quán)限只有EXECUTE、DEBUG權(quán)限

SQL> COL GRANTEE FOR A12; 
 
SQL> COL TABLE_NAME FOR A30; 
 
SQL> COL GRANTOR FOR A12; 
 
SQL> COL PRIVILEGE FOR A8; 
 
SQL> SELECT * FROM USER_TAB_PRIVS_MADE WHERE GRANTEE='TEMP'; 
 
 
GRANTEE      TABLE_NAME              GRANTOR      PRIVILEGE               GRA HIE 
 
---------- --------------------- ------------ --------------------------- --- --- 
 
TEMP         PROC_TEST                ESCMUSER     DEBUG                   NO  NO 
 
TEMP         PROC_TEST                ESCMUSER     EXECUTE                 NO  NO 
 
 
SQL>  

將存儲過程PORC_TEST的權(quán)限從TEMP用戶收回，然后授予用戶TEMP關(guān)于存儲過程PROC_TEST的DEBUG權(quán)限

SQL>REVOKE ALL ON PROC_TEST FROM TEMP; 
 
SQL>GRANT DEBUG ON PROC_TEST TO TEMP; 

那么TEMP用戶此時執(zhí)行存儲過程報權(quán)限不足

SQL> SET SERVEROUT ON; 
 
SQL> EXEC escmuser.proc_test; 
 
begin escmuser.proc_test; end; 
 
ORA-06550: line 2, column 16: 
 
PLS-00904: insufficient privilege to access object ESCMUSER.PROC_TEST 
 
ORA-06550: line 2, column 7: 
 
PL/SQL: Statement ignored 

此時，如果修改存儲過程PROC_TEST就會ORA-01031權(quán)限不足問題。但是你可以在PL/SQL Developer工具或使用下面視圖查看存儲過程的定義。如下所示。

SELECT * FROM ALL_SOURCE WHERE NAME='PROC_TEST'

所以，只需要授予存儲過程的DEBUG權(quán)限給某個用戶，就可以實現(xiàn)只授予用戶查看存儲過程定義的權(quán)限，而限制用戶修改、執(zhí)行存儲過程。從而達到只授權(quán)用戶查看存儲過程定義的權(quán)限。不過這樣實現(xiàn)，總讓我感覺有點怪怪的。

原文鏈接:http://www.cnblogs.com/kerrycode/p/4580256.html