Oracle 程序被编译后自动增加了AUTHID CURRENT_USER授权

已于 2023-02-01 13:52:38 修改
阅读量455 收藏
点赞数
分类专栏: # 常用sql和技巧 文章标签: 数据库 sql oracle
于 2023-01-31 18:18:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/biqidaoer/article/details/128821504
版权

目录

背景

原因:

解决方法

背景

今天遇到一个大坑,新建的一个数据库用户调用apps下的程序包,程序反馈未授权无法使用。

但是DBA确认已经给了授权。

查询授权表也是有正确授权的,但就是显示无效授权。

后来debug进去,程序是可以step进到程序包里面的,证明授权是正常的。只是查询到一个sql里面selelct into 报这个错误,很诡异,纠结很久。

找到原来的程序开发人员,一轮调试,发现pkg的包头声明被加了AUTHID CURRENT_USER。

比对测试环境没有这个授权。

发生这种情况是公司EBS系统凌晨5点进行了patch升级,自动编译了数据库对象(patch中是不包含这个pkg的,应该是升级把所有的数据库对象给刷了一遍)

这种情况及时给其他数据库用户授权,也无法被有效调用,注释掉就可以了。

原因:

Oracle Metalink有以下解释

文档号:Doc ID 1286602.1

原文

APPLIES TO:

Oracle Applications DBA - Version 12.0.0 to 12.1.3 [Release 12 to 12.1]
Information in this document applies to any platform.

SYMPTOMS

After upgrading to 12.1.3, custom packages created under apps schema have the clause ‘AUTHID CURRENT_USER’ added automatically to their package specification.

Steps To Reproduce
=================
1. Create a custom package under apps schema.
2. Upgrade to 12.1.3

CAUSE

The custom packages contain the text 'Header' in their definition, which causes AD utilities to manipulate them, and add the clause 'AUTHID CURRENT_USER' to them, as reported in Bug 3098429.

SOLUTION

1. Replace the text 'Header' in the custom packages with any other similar text like 'Version'.
2. Compile the apps schema using adadmin, then it will be noticed that the AUTHID clause is not added.

REFERENCES

NOTE:119935.1 - 11i: Applications Objects with Invoker's Rights and Processing Modes

解释起来应该就是

        程序包的包头注释中如果有 'Header'的字符,那么就会自动加上 'AUTHID CURRENT_USER'

比如:

ORACLE PLSQL中提供两种授权选择:

        --AUTHID DEFINER (定义者权限):指编译存储对象的所有者。也是默认权限模式。

        --AUTHID CURRENT_USER(调用者权限):指拥有当前会话权限的模式,这可能和当前登录用户相同或不同(alter session set current_schema 可以改变调用者Schema)

也就是说AUTHID CURRENT_USER只能操作本次连接的数据库用户下的对象,无法跨数据库用户操作数据库对象。

举个例子:

        1. 在A用户和B用户,各建立一个table test_user(heder_id number);

        2. 在A用户下建立一个procedure update_id,里面更新test_user.heder_id = 123;

        3. 把update_id从A用户授权给B用户使用;

        4. B用户下调用这个procedure   A.update_id;

        如果update_id没有使用AUTHID CURRENT_USER声明,会更新A用户的test_user数据,B用户的test_user的数据无变化。

        如果update_id有使用AUTHID CURRENT_USER声明,会更新B用户的test_user数据,A用户的test_user的数据无变化。

        如果该用户下无该table对象,则报错,如表或视图不存在、没有有效授权之类的。

        查询亦然!!!

SELECT *
  FROM Dba_Role_Privs t
 WHERE t.Grantee = 'MPP'
 ORDER BY t.Grantable
         ,t.Owner
         ,t.Table_Name;

查找数据库中被修改的对象


SELECT Do.Owner
      ,Do.Object_Name
      ,Do.Object_Type
      ,Ds.Line
      ,Ds.Text
      ,Do.Created
      ,Do.Last_Ddl_Time
  FROM Dba_Objects Do
      ,Dba_Source  Ds
 WHERE 1 = 1
   AND Do.Owner = Ds.Owner
   AND Do.Object_Type = Ds.Type
   AND Do.Object_Name = Ds.Name
   AND Upper(Ds.Text) LIKE '%AUTHID CURRENT_USER%'
      -- AND Ds.Line >= 10
   AND (Do.Object_Name LIKE 'XX%' OR Do.Object_Name LIKE 'CUX%' OR Do.Object_Name LIKE 'CUS%')
      --AND Do. >= SYSDATE - 2
   --AND Do.Object_Type = 'PACKAGE'
   AND To_Char(Do.Last_Ddl_Time, 'yyyy-mm-dd') = '2023-01-31'
 ORDER BY Do.Owner
         ,Do.Object_Name
         ,Do.Last_Ddl_Time;

解决方法

找DBA手动把它改回来呗。

注意去除掉包头注释的文字。

嗯,其实他是完全匹配,所以把header改成headers也成。

刘文钊1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle authid current_user详解
老徐的博客只有干货
12-02 1万+
在编写PLSQL程序时,对于授权的考虑很重要。ORACLE PLSQL中提供两种授权选择: --AUTHID DEFINER (定义者权限):指编译存储对象的所有者。也是默认权限模式。注意:此模式会disable 角色授权。 --AUTHID CURRENT_USER(调用者权限):指拥有当前会话权限的模式,这可能和当前登录用户相同或不同(alter session set current_s
oracle存储过程中authid current_userauthid definer
jc_benben的专栏
03-21 1771
DB Version :11.2.0.4 举例1: 用户system: 用户system新建一个存储过程p_test,这里authid current_user create or replace procedure p_test authid current_user as v_count number; begin select count(*) into v_co...
oracle authid current_user详解1
u012102536的博客
03-02 2740
1      以当前用户的权限执行详解 在编写PLSQL程序时,对于授权的考虑很重要。Oracle PLSQL中提供两种授权选择: 说白了 :AUTHID DEFINER 就是当时登陆的用户写的。 --AUTHID DEFINER (定义者权限):指编译存储对象的所有者。也是默认权限模式。 --AUTHID CURRENT_USER(调用者权限):指拥有当前会话
Authid current_user的用法
10-15 5433
Authid Current_User:以执行过程的用户的权限来处理涉及的对象权限. 这是典型的,数据库中只创建一个存储过程,所有用户都可以使用,但是每个用户使用的时候 只是用自己的权限权限执行,oracle自己的包很多都这样的。 存储过程默认是用定义者definer 的身份调用的,如果加上AUTHID CURRENT_USER,则用当前登陆的用户权限调用,如果该过程的调用者(而非
使用 Authid Current_User 为调用者授权
欧辰的专栏
04-09 2626
Authid Current_User 是调用者权限。 oracle DB下面有2种执行的权限:定义者权限和调用者权限。 默认都是定义者权限。声明Authid Current_User后就是调用者权限。 定义者权限的现象是,如果在APPS下创建的procedure,那其他user,只要能执行procedure,都是以apps的名义来执行的。因为APPS是procedure的定义者。 APPS能做
oracle存储过程创建表分区实例
09-10
Oracle存储过程是指在Oracle数据库管理系统中的一种编程手段,它允许用户根据自己的需求创建出符合自己业务逻辑的数据库处理程序。在 Oracle中,存储过程可以用来创建表分区实例,本文将详细介绍如何使用Oracle存储...
ORACLE程序及TABLE类型用法等[收集].pdf
10-11
这些声明在子程序执行完毕后自动释放。执行部分包含业务逻辑,如赋值、流程控制和数据库操作。异常处理部分则处理可能出现的错误情况。 以`debit_account`过程为例,它接收账号ID和金额作为输入,查询账户余额,...
Oracle执行存储过程权限不足
12-14
总结来说,"Oracle执行存储过程权限不足"的问题可以通过修改存储过程定义,设置AUTHID CURRENT_USER属性来解决。这样做使得存储过程在执行时使用调用者的权限,从而包含了角色权限。但同时,也应关注由此带来的安全...
Oracle P/L SQL实现文件压缩、解压功能
02-14
Create or Replace Package UTL_ZIP AUTHID CURRENT_USER as Type File_List is Table of Clob; --文件变成流 Function f_File2Blob( as_SubDir in VarChar2, as_FileName in VarChar2 )Return ...
Authid Current_User的使用
junmail的专栏
05-01 1026
我们知道,用户拥有的role权限在存储过程是不可用的。遇到这种情况,我们一般需要显式授权,如grant create table to usera;但这种方法太麻烦,有时候可能需要进行非常多的授权才能执行存储过程,实际上,oracle给我们提供了在存储过程中使用role权限的方法:修改存储过程,加入Authid Current_User时存储过程可以使用role权限。下面来举个例子: SQ
OracleAUTHID CURRENT_USER 用法详解
月下狼~图腾~
08-16 1610
没有AUTHID CURRENT_USER表示定义者权限(definer rights),以定义者身份执行; 加上AUTHID CURRENT_USER表示调用者权限(invoker rights),以调用者身份执行。   下面就以一个例子来说明两者的区别: 1. 创建两个用户:cux,apps 2. 在cux下创建一张表:cux_authid_current_user_table ...
Oracle中已定义者身份执行函数AUTHID DEFINER与Postgresql行为的异同
InternalsOf
06-30 540
Oracle中函数可以定义执行函数体时,使用哪个用户的权限:[AUTHID { CURRENT_USER|DEFINER}] PG中执行函数永远是使用当前用户的权限来执行的,类似Oracle中`AUTHID CURRENT_USER`的概念。
ORACLE 存储过程中的Authid Current_User
congchangbei6601的博客
02-26 309
ORACLE用户具有DBA权限,却会出现无法在存储过程里面创建一张普通表的现象。因为即使用户拥有DBA权限,用户拥有的role权限在存储过程是不可用的。 遇到这种情况,通常解决方法是进行显式的权限分配: grant cre...
oracle过程中的authid definer/current_user选项使用
DBA Tips
04-16 2180
Oracle 10g 中创建函数,存储过程,程序包都存在这个invoker_rights_clause选项 authid definer/current_user 以下为文档中的解释 create procedure invoker_rights_clause The invoker_rights_clause lets you specify whether the pr
Oracle AUTHID CURRENT_USER
西索的领域
07-16 546
没有AUTHID CURRENT_USER表示定义者权限(definer rights),以定义者身份执行; 加上AUTHID CURRENT_USER表示调用者权限(invoker rights),以调用者身份执行。
oracle存储过程指定动态sql时提示没有权限
zona
02-14 1901
背景: 在存储过程中执行动态sql,提示权限不足。 但单独执行插入数据的sql是能够正常执行的。 解决方案: 在存储过程声明的地方加上“AUTHID current_user” 没有AUTHID CURRENT_USER表示定义者权限(definer rights),以定义者身份执行; 加上AUTHID CURRENT_USER表示调用者权限(invoker rights),以调用者身份执行...
oracle授权脚本,【GRANTS】【SCRIPTS】两种自动化获得Oracle授权语句的脚本
weixin_39855658的博客
04-09 270
对于DBA来说,一切可以简化操作的尝试都要被鼓励。这里提供两种快速得到Oracle授权语句的脚本。第一种方法:可以通过SQL从一些数据字典中查询到授权信息,生成授权语句:undefine user_nameset pagesize 1000select 'grant '||tt.granted_role||' to '||tt.grantee||';' as SQL_textfrom dba_ro...
oracle AUTHID
最新发布
08-24
程序AUTHID CURRENT_USER编译时,它将使用当前用户的权限和角色来访问数据库对象。 AUTHID DEFINER表示程序在运行时将以定义者的身份运行。这意味着程序将具有与定义者相同的权限和角色。当程序AUTHID ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值