oracle 12c code based access control

最新推荐文章于 2024-01-08 10:29:45 发布
最新推荐文章于 2024-01-08 10:29:45 发布
阅读量332 收藏
点赞数
分类专栏: -- Ora12c&13c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jc_benben/article/details/50972458
版权 
-- 创建用户和基本授权
SQL> alter session set container = pdb1;

会话已更改。

SQL> create user cbac_user1 identified by 123 quota unlimited on users;

用户已创建。

SQL> grant create session,create table,create procedure to cbac_user1;

授权成功。

SQL> create user cbac_user2 identified by 123 quota unlimited on users;

用户已创建。

SQL> grant create session to cbac_user2;

授权成功。

-- 环境准备
C:\Users\Administrator>sqlplus cbac_user1/123@pdb1

SQL*Plus: Release 12.1.0.2.0 Production on 星期四 3月 24 13:58:36 2016

Copyright (c) 1982, 2014, Oracle.  All rights reserved.


连接到:
Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production
With the Partitioning, OLAP, Advanced Analytics and Real Application Testing opt
ions

SQL> create table t1(id number);

表已创建。

SQL> insert into t1 select level from dual connect by level <=3;

已创建 3 行。

SQL> commit;

提交完成。

SQL> create table t2(id number);

表已创建。

SQL> insert into t2 select level from dual connect by level <=3;

已创建 3 行。

SQL> commit;

提交完成。

-- 创建测试函数
CREATE OR REPLACE FUNCTION get_count_definer
RETURN VARCHAR2 
  AUTHID DEFINER
AS
  l_count1 NUMBER;
  l_count2 NUMBER;
  l_return VARCHAR2(32767);
BEGIN
  SELECT COUNT(*)
  INTO   l_count1
  FROM   cbac_user1.t1;

  SELECT COUNT(*)
  INTO   l_count2
  FROM   cbac_user1.t2;

  l_return := 'CallUser=' || USER ||
              '  PrivUser=' || SYS_CONTEXT('userenv', 'CURRENT_USER') ||
              '  T1Count=' || l_count1 ||
              '  T2Count=' || l_count2;
  
  RETURN l_return;
END;
/

CREATE OR REPLACE FUNCTION get_count_invoker
RETURN VARCHAR2
  AUTHID CURRENT_USER
AS
  l_count1 NUMBER;
  l_count2 NUMBER;
  l_return VARCHAR2(32767);
BEGIN
  SELECT COUNT(*)
  INTO   l_count1
  FROM   cbac_user1.t1;
  BEGIN
    SELECT COUNT(*)
    INTO   l_count2
    FROM   cbac_user1.t2;
  EXCEPTION
    WHEN OTHERS THEN
      l_count2 := -1;
  END;
  l_return := 'CallUser=' || USER ||
              '  PrivUser=' || SYS_CONTEXT('userenv', 'CURRENT_USER') ||
              '  T1Count=' || l_count1 ||
              '  T2Count=' || l_count2;
  RETURN l_return;
END;
/

-- 授权测试
SQL> grant execute on get_count_definer to cbac_user2;

授权成功。

SQL> grant execute on get_count_invoker to cbac_user2;

授权成功。

SQL> conn cbac_user2/123@pdb1
已连接。
SQL> select cbac_user1.get_count_definer from dual;

GET_COUNT_DEFINER
-------------------------------------------------------------------------------

CallUser=CBAC_USER2  PrivUser=CBAC_USER1  T1Count=3  T2Count=3

SQL> select cbac_user1.get_count_invoker from dual;
select cbac_user1.get_count_invoker from dual
       *
第 1 行出现错误:
ORA-00942: 表或视图不存在
ORA-06512: 在 "CBAC_USER1.GET_COUNT_INVOKER", line 9

-- 12c 之前的处理方法
SQL> conn / as sysdba
已连接。
SQL> alter session set container=pdb1;

会话已更改。

SQL> create role cbac_role;

角色已创建。

SQL> grant cbac_role to cbac_user1,cbac_user2;

授权成功。

SQL> grant select on cbac_user1.t1 to cbac_role;

授权成功。

SQL> conn cbac_user2/123@pdb1
已连接。
SQL> select cbac_user1.get_count_definer from dual;

GET_COUNT_DEFINER
------------------------------------------------------------------------------

CallUser=CBAC_USER2  PrivUser=CBAC_USER1  T1Count=3  T2Count=3

SQL> select cbac_user1.get_count_invoker from dual;

GET_COUNT_INVOKER
------------------------------------------------------------------------------

CallUser=CBAC_USER2  PrivUser=CBAC_USER2  T1Count=3  T2Count=-1

-- 但是此时cbac_user2还能访问cbac_user1.tab1
SQL> select * from cbac_user1.t1;

        ID
----------
         1
         2
         3

-- 12c 的Code Based Access Control可以实现我们要求的功能
SQL> conn / as sysdba
已连接。
SQL> alter session set container=pdb1;

会话已更改。

SQL> revoke cbac_role from cbac_user2;

撤销成功。

SQL> grant cbac_role to function cbac_user1.get_count_invoker;

授权成功。

SQL> conn cbac_user2/123@pdb1
已连接。
SQL> select cbac_user1.get_count_invoker from dual;

GET_COUNT_INVOKER
---------------------------------------------------------------------------

CallUser=CBAC_USER2  PrivUser=CBAC_USER2  T1Count=3  T2Count=-1

SQL> select * from cbac_user1.t1;
select * from cbac_user1.t1
                         *
第 1 行出现错误:
ORA-00942: 表或视图不存在

朝闻道-夕死可矣
关注
专栏目录
Upgrade to OCP 12c 1Z0-060(21-30)
梅森上校的博客 业精于勤荒于嬉,形成于思毁于随。
10-19 1018
Upgrade to OCP 12c 1Z0-060(21-30) Question 21: Which three functions are performed by the SQL Tuning Advisor? A. Building and implementing SQL profiles B. Recommending the optimization of materializ...
Oracle12c版本中未归档隐藏参数
热门推荐
数据库生态圈(RDB & NoSQL & Bigdata)——专注于关系库优化(Oracle&Mysql&PG&SQL Server )
11-13 1万+
查阅资料时,看到该文档,认为有较大参考价值,记录于此,供同行及自己研究参考使用。
Oracle Database 12c Security - 6. Real Application Security
In-Memory Computing Technology
09-01 457
RAS(Real Application Security)是12c的新特性,RAS的特点是全面(comprehensive)和透明。 传统的Web应用,要在不同连接间切换,并保证正确权限的成本太高,因此通常赋予所有权限,这导致过度赋权。 另外在Web应用中保留用户身份很难,有时就会不保留从而导致应用复杂性,易错和难以审计。 ACCOUNT MANAGEMENT IN ORACLE RAS RAS的语法为: <Principal> perform <operation> on &lt
Oracle Database 12c Security - 5. Foundational Elements of Database Application Security
In-Memory Computing Technology
09-01 349
很多地方都可以实施安全,但: security should be enforced closest to the data 这样可以避免被用户绕过。 另外,安全的透明性可便于用户采用,也就是尽可能不妨碍用户。 最后,一些和安全相关的信息需要反复访问和快速访问,这些并不适合存放在表中,Oracle使用了application context。 APPLICATION CONTEXT application context是存放在内存中的键值对(名字+属性),系统会自带一些,用户也可以自己定义。 相关的属
oracle升级
weixin_43475880的博客
08-19 1424
11.2.0.4从11g升级到19.11版本,单实例 一、数据库配置变化 因为19c的基础版本是19.3,无法直接从11.2.0.4直接升级到19.11 当前环境 目标环境 /u01/app/oracle/product/11g/db_1 /u01/app/oracle/product/19.11/db_1 11.2.0.4 19.11 二、具体步骤 2.1下载安装包,并解压 uzip LINUX.X64_193000_db_home.zip
34.Oracle深度学习笔记——12C的AWR初步解读
badman250的专栏
10-08 4502
34.Oracle深度学习笔记——12C的AWR初步解读 关于AWR,蛤蟆也经常看。因为经常看别人给出的建议,很难有深刻体会。对此,计划花费几个晚上时间好好体会一把并记录下来。此处以单实例为例。列出目录便于整体理解。 目录 1.       快照生成方法... 1 2.       生成AWR报告... 1 3.       系统描述... 3 4.       报告汇总...
ORACLE ERROR大全
mark4541437的博客
11-11 5908
ORA_ERROR大全 1 ORA00001: unique constraint (.) violated -17 ORA00017: session requested to set trace event -18 ORA00018: maximum number of sessions exceeded -19 ORA00019: maximum number of session lic...
2.Oracle体系结构-内存结构
最新发布
weixin_42005129的博客
01-08 515
目录 目录 2.1 文章概述 2.2 内存结构概述 Basic Memory Structures 2.1 文章概述 文章为记录学习oracle体系结构 内存部分笔记。文章为根据官网同时根据实际经验翻译、理解生成 广大网友有缘看到,具体内容还请自己甄别。文中黄色部分为官网原文供网友解读、绿色部分为个人记录或翻译,翻译也只是翻译主要内容。 2.2 内存结构概述 When an instance is started, Oracle Database allocates a memory
weblogic12c补丁安装
zxc_user的博客
01-22 1224
文章转载自   http://blog.csdn.net/sl1992/article/details/79026765  感谢作者,谢谢!! 根据漏洞报告下载补丁补丁包上传解压到Linux关于OPatch安装补丁 1单个补丁安装2多个补丁安装3单个补丁回滚4多个补丁回滚5验证补丁是否应用到Oracle Home 由于绿盟扫描出了机器
12C ORA-错误汇总20
ugghhj的博客
11-11 1256
12C ORA-错误汇总20
Oracle Character Set
彦祖的小号的博客
07-06 962
(一)Character Set Encoding Code point/code value即字符对应的字符编码 A group of characters (for example, alphabetic characters, ideographs, symbols, punctuation marks, and control characters) can be encoded as a character set. Anencoded character setassigns a u...
12C ORA 错误汇总21
ugghhj的博客
11-08 1178
12C ORA 错误汇总21
12C ORA-错误汇总7 ORA-09870 to ORA-12100
ugghhj的博客
11-13 1133
12C ORA-错误汇总7 ORA-09870 to ORA-12100
12C ORA-错误汇总3 ORA-01500 to ORA-02098
ugghhj的博客
01-26 1901
12C ORA-错误汇总3 ORA-01500 to ORA-02098
oracle12c下简单使用expdp&impdp
jc_benben的专栏
11-26 6270
12c下一切变得不是很熟悉了,毕竟相对之前还是有的 创建授权用户等操作 SQL> show user; USER is "SYS" SQL> show con_name CON_NAME ------------------------------ CDB$ROOT SQL> create user c##dp_u1 identified by oracle; User created
Oracle 12C对JSON支持
jc_benben的专栏
06-27 4159
搭建环境 SQL> create table json_t( 2 id raw(16) not null, 3 data clob, 4 constraint json_t_pk primary key(id), 5 constraint json_t_json_chk check (data is JSON) 6 ); 表已创建。可以加上strict 来强制限制
oracle 12c 列自增长 identity column
jc_benben的专栏
06-15 3931
-- 针对mssql,mysql的列子增长优势,oracle12c实现了数据库的列自增长功能,其实内部还是用序列来实现的, SQL&gt; alter session set container=pdb1; 会话已更改。 SQL&gt; alter session set container=cdb$root; ERROR: ORA-01031: 权限不足 SQL&gt; select c...
12c trancate table cascade
jc_benben的专栏
06-13 3054
delete/truncate cascade SQL> create table t1(id int,descs varchar2(10), 2 constraint pk_t1 primary key (id)); Table created SQL> create table t2(id int,t1_id int,name varchar2(10), 2 constrai
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

朝闻道-夕死可矣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值