利用oracle系统触发器实现用户权限的集中管理

最新推荐文章于 2023-09-05 15:23:37 发布
最新推荐文章于 2023-09-05 15:23:37 发布
阅读量1k 收藏 2
点赞数 2
分类专栏: oracle 文章标签: oracle 系统触发器 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andyguan01_2/article/details/86305844
版权

【背景】

有多人要使用oracle数据库,每个人属于不同的小组,都需要建表和存储过程。为便于数据集中管理,给每个人创建了单独的个人账号,每个组有一个公共的账号。权限管理的原则是:

1、每个人只能使用自己的个人账号,组账号由DBA统一管理,不开放给个人使用;
2、个人账号可以建表、视图、存储过程、函数,但只能创建在个人归属的组账号下,例如个人账号为ZHANGSAN,组账号为GROUP1,在ZHANGSAN用户下创建表的语句为:CREATE TABLE GROUP1.TAB_NAME ......
3、个人创建的表、视图、存储过程、函数,创建者具有对象的ALL权限,组内其他用户具有查询或查看权限但不能新增、修改和删除,其他组用户不具有任何权限。

【设计思路】

考虑使用系统触发器来实现(用具有DBA权限的用户开发)。

1、用户创建对象时,调用“before ddl on database”系统触发器,判断对象的所有者是否为登录用户对应的组用户,例如用户ZHANGSAN归属于组GROUP1,创建表的SQL必须为CREATE TABLE GROUP1.TAB_NAME ......,而不能写CREATE TABLE GROUP2.TAB_NAME ......
2、用户创建对象后,调用“after create on database”系统触发器,生成授权语句写入操作表,同时记录对象创建日志表;
3、写一个job执行授权语句操作表中的SQL,job的状态为DISABLE,每当有数据写入授权语句操作表的时候,调用表级触发器,将此job的状态置为ENABLE;
说明:因为在触发器里面不能执行DDL授权语句,所以考虑先把授权语句放入一张表,然后用job来读取表中语句处理。job状态由DISABLE改为ENABLE后,会执行一次job,执行完后job状态又变回DISABLE。
4、用户修改/删除对象时,也调用“before ddl on database”系统触发器,判断要操作的对象是否为当前登录用户所创建,用户只能修改/删除自己创建的对象,不能对其他对象进行此类操作。

【脚本】

一、用户权限:

个人用户:
create session 
create any table 
create any view
create any procedure
drop any table
drop any view
drop any procedure

组用户:
connect
resource

二、表结构:

1、用户权限管理-用户与组关系表USER_AUTH_LIST:

2、用户权限管理-对象创建日志表USER_AUTH_CREATETAB_LOG:

3、用户权限管理-授权语句表USER_AUTH_SQL:

三、触发器

1、用户权限管理-DDL操作前判断:
create or replace trigger admin.tri_before_ddl
/**********************************************************************************
  * 名称:tri_before_ddl
  * 功能:用户权限管理-DDL操作前判断
  **********************************************************************************/
before ddl on database
declare
    int_l_count pls_integer;
begin
    -- 针对表,视图,存储过程,函数的DDL操作
    if Dictionary_obj_type in ('TABLE','VIEW','PROCEDURE','FUNCTION') and ORA_SYSEVENT in ('CREATE','DROP','TRUNCATE') then
        -- 判断执行DDL操作的登录用户是否为需要进行权限管理的用户
        select count(*)
          into int_l_count
          from user_auth_list t1
         where t1.user_name = ora_login_user;

        if int_l_count > 0 then
            -- 针对CREATE操作的判断
            if ORA_SYSEVENT = 'CREATE' then
                -- 判断登录用户是否有权限操作对象用户
                select count(*)
                  into int_l_count
                  from user_auth_list t1
                 where t1.user_name = ora_login_user
                   and t1.grant_createtab_username = ora_dict_obj_owner;
                
                -- 对没有权限的情况进行提示
                if int_l_count = 0 then
                    raise_application_error(-20001,'您不能在此用户下创建对象噢,请回想一下,您是否有其他用户下的创建对象权限?');
                end if;
                
                -- 限制用户不能修改其他人创建的视图,存储过程,函数
                -- 备注:注意,修改视图,存储过程,函数的DDL语句也是CREATE,例如:CREATE OR REPLACE VIEW/PROCEDURE/FUNCTION
                if Dictionary_obj_type in ('VIEW','PROCEDURE','FUNCTION') then
                    -- 判断对象是否已存在
                    select count(*)
                      into int_l_count
                      from dba_objects t 
                     where t.OWNER = ora_dict_obj_owner
                       and t.OBJECT_NAME = ora_dict_obj_name;
                    
                    -- 对于已存在的对象,限制只有对象创建者才能修改
                    if int_l_count > 0 then
                        -- 判断对象创建者是否为登录用户
                        select count(*)
                          into int_l_count
                          from user_auth_createtab_log t1
                         where t1.owner = ora_dict_obj_owner
                           and t1.tab_name = ora_dict_obj_name
                           and t1.create_user = ora_login_user
                           and not exists (select 1
                                             from user_auth_createtab_log t2
                                            where t2.owner = t1.owner
                                              and t2.tab_name = t1.tab_name
                                              and t2.create_time > t1.create_time); 
                                               
                        -- 如果对象创建者不是登录用户,进行提示
                        if int_l_count = 0 then
                            raise_application_error(-20001,'您不能修改非本人创建的对象噢');
                        end if;                      
                    end if;                     
                end if;
            -- 针对DROP,TRUNCATE操作的判断    
            elsif ORA_SYSEVENT in ('DROP','TRUNCATE') then
                -- 对象只能由其创建者DROP,TRUNCATE
                select count(*)
                  into int_l_count
                  from user_auth_createtab_log t1
                 where t1.owner = ora_dict_obj_owner
                   and t1.tab_name = ora_dict_obj_name
                   and t1.create_user = ora_login_user
                   and not exists (select 1
                                     from user_auth_createtab_log t2
                                    where t2.owner = t1.owner
                                      and t2.tab_name = t1.tab_name
                                      and t2.create_time > t1.create_time);

                -- 如果对象创建者不是登录用户,进行提示
                if int_l_count = 0 then
                    raise_application_error(-20001,'您不能'||ORA_SYSEVENT||'非本人创建的对象噢');
                end if;
            end if;
        end if;
    end if;
end tri_before_ddl;

2、用户权限管理-CREATE操作后授权及记录日志:
create or replace trigger admin.tri_after_create_table
/**********************************************************************************
  * 名称:tri_after_create_table
  * 功能:用户权限管理-CREATE操作后授权及记录日志
  **********************************************************************************/
after create on database
declare
    int_l_count pls_integer;
    str_l_Dictionary_obj_type varchar2(100);
begin
    str_l_Dictionary_obj_type := Dictionary_obj_type;
    
    -- 针对表,视图,存储过程,函数的CREATE操作
    if Dictionary_obj_type in ('TABLE', 'VIEW', 'PROCEDURE', 'FUNCTION') then
        -- 判断执行CREATE操作的登录用户是否为需要进行权限管理的用户
        select count(*)
          into int_l_count
          from user_auth_list t1
         where t1.grant_createtab_username = ora_dict_obj_owner;
        
        if int_l_count > 0 then
            -- 生成授权SQL(表/视图:登录用户ALL权限,组内其他用户SELECT权限;存储过程/函数:登录用户ALL权限)
            insert into admin.user_auth_sql
                   (sql_text)
            select 'grant '|| (case when t1.user_name = ora_login_user then 'all' else 'select' end) || ' on '||ora_dict_obj_owner||'."'||ora_dict_obj_name||'" to '||t1.user_name
              from user_auth_list t1
             where t1.grant_createtab_username = ora_dict_obj_owner
               and not (str_l_Dictionary_obj_type in ('PROCEDURE','FUNCTION') and t1.user_name <> ora_login_user);

            -- 记录创建对象日志表
            insert into user_auth_createtab_log
                   (owner, tab_name, create_user)
            values (ora_dict_obj_owner, ora_dict_obj_name, ora_login_user);
        end if;
    end if;
end tri_after_create_table;

3、用户权限管理-执行授权语句:
CREATE OR REPLACE TRIGGER admin.tri_ai_user_auth_sql
/**********************************************************************************
  * 名称:tri_ai_user_auth_sql
  * 功能:用户权限管理-执行授权语句
  **********************************************************************************/
after insert on admin.user_auth_sql
declare
begin
    -- 调用job执行授权语句
    dbms_scheduler.enable('JOB_USER_AUTH');
end tri_ai_user_auth_sql;

四、JOB

调用存储过程执行授权语句操作表中的SQL:
begin
  sys.dbms_scheduler.create_job(job_name            => 'JOB_USER_AUTH',
                                job_type            => 'PLSQL_BLOCK',
                                job_action          => 'BEGIN
      P_JOB_USER_AUTH;
  END;',
                                start_date          => to_date('01-06-2018 00:00:00', 'dd-mm-yyyy hh24:mi:ss'),
                                repeat_interval     => '',
                                end_date            => to_date(null),
                                job_class           => 'DEFAULT_JOB_CLASS',
                                enabled             => false,
                                auto_drop           => false,
                                comments            => '');
end;

调用的存储过程:
create or replace procedure P_JOB_USER_AUTH
/**********************************************************************************
  * 名称:P_JOB_USER_AUTH
  * 功能:用户权限管理-执行授权语句
  **********************************************************************************/
as
    str_l_sqlerrm varchar2(1000);
begin
    -- 找出所有未执行过的授权语句
    for c in (select *
                from user_auth_sql t
               where t.exe_status = 'N') loop
        begin    
            -- 执行授权语句
            execute immediate c.sql_text;
            
            -- 更新执行状态为Y
            update user_auth_sql t
               set t.exe_status = 'Y'
             where t.id = c.id;  
        exception
            when others then 
                str_l_sqlerrm := sqlerrm;
                
                -- 记录异常日志
                update user_auth_sql t
                   set t.exe_status = 'E',
                       t.err_msg = str_l_sqlerrm
                 where t.id = c.id; 
        end;
        commit; 
    end loop;
exception
    when others then
        dbms_output.put_line(sqlerrm);
end P_JOB_USER_AUTH;

完毕。

andyguan01_2
关注
专栏目录
oracle添加触发器权限,Oracle 'after create'触发器授予权限
weixin_39556064的博客
04-16 1454
我有一个'after create on database'触发器,可以在特定模式中为新创建提供对不同Oracle角色的select访问 .如果我执行一个 create table ... as select 语句然后在TOAD中的同一代码块或不同的UI中查询新我遇到错误,但是如果我单独运行命令它会起作用:create table schema1.table1 as select * fro...
oracle 触发器权限,编译 Trigger 出错 -- Oracle 的显式授权
weixin_32743475的博客
04-03 921
编译 Trigger 出错,错误的原因是找不到sequence,但是在 sql 里面使用这个sequence非常正常。找了半天原因,另一个同事试了一下给这个sequence授权,就可以编译通过了。疑惑了很久,为什么sql中可以用,编译trigger就不能用了呢。查了一些资料,才明白。是因为 Oracle 在编译Procedu的候,只检查当前用户的权限,而不管角色。所以,即使这个用户是DBA,也没...
ORACLE 触发器控制用户登录之权限限制
clm20482的博客
01-04 408
出于数据安全性,公司要求DBA实现控制拒绝特定的用户登录,由于公司不同的工作楼层分属于不同的vlan,因此单从linux主机层次依赖ACL访问列控制登录数据库服务器,已经不能实现。 因此,只能考虑从数据库内部加以限制...
oracle 触发器 控制权限
laokaizzz的专栏
07-05 2565
create or replace trigger trig_control     before drop or truncate or rename or create or alter on database   begin     if upper(ORA_LOGIN_USER) not in ('SYSTEM','SYS') then --ORA_LOGIN_USER 触发器所在的用户名...
Oracle授权相关(Oracle 触发器授权、Oracle 存储过程授权、Oracle 授权、Oracle 序列授权)
热门推荐
lightningmn的博客
12-18 1万+
grant给权限: 1、grant 权限 on to 用户。 grant select/update on table to user; 例如: grant select on table_name to user_name; 2、grant 给存储过程赋权限: grant execute on 过程、包、方法 to user grant execute on package/fu...
Oracle触发器在日志管理开发中的应用.pdf
10-10
Oracle触发器在日志管理开发中的应用主要集中在利用数据库自身的机制来提高日志记录的效率和准确性。传统的日志管理通常在客户端或应用服务器端编写专门的日志处理子模块,这种方式编程工作量大,维护复杂。而通过...
基于Oracle触发器的后门隐藏技术研究.pdf
10-09
Oracle触发器后门隐藏技术】是网络安全领域中一种利用关系型数据库——Oracle数据库特性进行后门植入和隐藏的方法。这种技术尤其在云计算环境中,由于Oracle数据库的重要地位,成为研究的重点。后门,通常被称为...
Oracle数据库触发器与存储过程:自动化任务,提升效率,解放数据库管理员
![Oracle数据库触发器与存储过程:自动化任务,提升效率,解放数据库管理员]...# 1. Oracle数据库触发器与存储过程概述** 触发器和存储过程是Oracle数据库中强大的工具,用于自动化任务、增强数据完整性并提高性能。...
Oracle实现数据库移植.pdf
10-10
此外,还需要注意数据库结构、用户权限触发器、存储过程、索引等的迁移。在不同操作系统之间迁移,可能需要处理文件系统的差异、字符集的兼容性以及网络配置等问题。 为了确保迁移的成功,通常需要进行详尽的...
oracle实验_ oracle安装与配置提交、Oracle SQL*PLUS环境与查询、oracle对象管理及使用、PL/SQL编程、用户、角色与权限管理、备份恢复
weixin_44929171的博客
08-11 3174
实验列实验一 oracle安装与配置提交实验二 Oracle SQL*PLUS环境与查询实验三 oracle对象管理及使用实验四 PL/SQL编程实验五 用户、角色与权限管理实验六 oracle备份恢复附录:员工医疗保险系统 实验一 oracle安装与配置提交 一、实验目的及要求 掌握Oracle的基本安装方法。掌握Oracle 11g的网络配置。能够使用DBCA创建数据库。 二、实验主要内容 1、Oracle 11g的安装。 2、Oracle 11g的网络配置。 3、使用DBCA创建数据库。 三、实
oracle如何设置权限,oracle 权限设置 和 详解
weixin_28884741的博客
04-03 433
http://www.xuebuyuan.com/762024.html 在使用oracle 9I em console客户端连接10G数据库候,使用normal连接身份,会提示缺乏select any dictionary 权限。但是使用sysdba身份或者是用PL/SQL的normal身份就可以连接~ 这个问题是oracle9I的一个bug,并且oracle并不打算解决这个问题了 其实...
Oracle-常用权限-完整版
最新发布
赚钱养家
09-05 2067
force any transaction 管理未提交的任意事务的输出权限。create any procedure 为任意用户创建存储过程的权限。force transaction 管理未提交的用户事务的输出权限。create any sequence 为任意用户创建序列的权限。create any snapshot 为任意用户创建快照的权限。create any synonym 为任意用户创建同义名的权限。create any trigger 为任意用户创建触发器权限
Oracle用户权限管理
Hvitur的博客
02-01 2482
Oracle用户权限管理、Oracle企业管理器、Oracle新用户创建Oracle增删改查其他角色权限Oracle创建权限Oracle获取其他角色权限Oracle登录错误次数过多锁定解锁、Oracle模式、Oracle默认和临空间、Oracle权限管理
Oracle给存储过程权限触发器
weixin_30297281的博客
05-23 318
  grant给权限: grant select/update on table to user; grant 权限 on to 用户。 2.grant 给存储过程赋权限: grant execute on package/function/procedure to user; grant execut...
创建sequence和触发器出现权限不足
weixin_34150503的博客
12-01 1502
解决方式: 已sysdba登陆后,进行授权   grant create any sequence to [用户]创建sequence权限不足解决方法 grant create trigger to [用户]     创建trigger权限不足解决方法   详情如下: grant create any sequence to vgsm 创建sequence权限不足解决方法gran...
oracle创建用户,创建数据库,导入数据,赋予创建视图~创建触发器权限
阿拉斯加大闸蟹的博客
05-25 1479
创建用户,创建空间: /创建空间  create temporary tablespace zfmi_temp  tempfile 'D:\Oracle\oradata\zfmi\zfmi_temp.dbf'  size 32m  autoextend on  next 32m maxsize 2048m  extent management local;  /
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值