标签:oracle 权限

select any dictionary与select_catalog_role的区别(转)

转自:http://space.itpub.net/23650854/viewspace-688668 作者:zecaro
在日常开发中,连接数据库都使用开发者帐号,仅有connect和resource角色。有时候,我们需要查询v$session时,即发现此帐号没有相应的权限,这时候,就要给相应的帐号赋于select any dictionary的权限或者select_catalog_role的角色了。这两个东西都可以实现让开发者帐号访问v$session的目的,但这两个东西还是有一定区别的。此文章详细地描述了,相应的区别和使用。

相同之处:
有了这两个中的一个,基本就可以查询数据字典,数据字典就是我们经常查询的v$session或v$process这些信息了

不同之处:

  1. select any dictionary是一种系统权限(system privilege),而select_catalog_role 是一种角色(a role)。
  2. 角色的话需要重新登录或者显式的set role 来生效,而赋予系统权限是立即生效的。(P.S. 同样revoke权限也是立即生效)
  3. select_catalog_role可以查看一些数据字典的视图·(可以看role的定义),如dba_之类的,而select any dictionary可以查看sys的表,select_catalog_role看不到。

以下是详细的验证信息:
角色的话需要重新登录或者显式的set role 来生效,而赋予系统权限是立即生效的。(P.S. 同样revoke权限也是立即生效)

继续阅读“select any dictionary与select_catalog_role的区别(转)”

hibernate开发中最小化oracle用户权限避免取得错误数据

    最近在使用oracle进行项目开发时,碰到在hibernate中总是取得错误的表数据。错误的出处在于使用hibernate的update生成模式,hibernate会自动地生成相应的表结构信息,然而在生成数据表的过程当中,hibernate首先会进行数据库表的验证工作,即判断当前domain中的配置信息与数据表是否一致,如果已经有相应的信息之后,则不再生成相应的信息。

    问题就在于此,hibernate是使用databaseMetadata这个java类来进行数据库表的识别工作,它通过

ResultSet getTables(String catalog, String schemaPattern, String tableNamePattern, String[] types)
 throws SQLException

    来读取数据表信息,并进行判断。在一般情况下,均能够读取正确的信息。但当数据库中存在着有相同的数据表(在不同的用户下)时,该操作会返回另一个用户创建的表信息。这样就导致了数据表上的验证不一致情况,而导致有些信息始终不能添加上(比如缺失外键关系,错误的外键关系等)。

    问题原因找到了,即通过此方法不能读取正确的表信息,解决问题的方法就是首先解决为什么这个方法会读取到其它用户的表信息,经过google之后,问题被发现了。是因为当前用户被授权了可以访问其它用户表的权限,导致hibernate在使用此方法时,自然就会返回其它用户的表了。原先给该用户进行授权时使用了以下语句:

grant create any view,drop any view,imp_full_database,exp_full_database,connect,resource,create session to xxx

    这样的授权方式,在角色imp_full_database,以及exp_full_database中,即包含了select any table的权限,从而导致了这样的问题发生。经过google,最终将该用户的权限控制为两个,即授予connect,resource权限,connect和resource实际上是两个角色。此角色所包含的权限如下所示:

CREATE SESSION
UNLIMITED TABLES
CREATE TABLE
CREATE CLUSTER
CREATE SEQUENCE
CREATE PROCEDURE
CREATE TRIGGER
CREATE TYPE
CREATE OPERATOR
CREATE INDEXTYPE

    这些权限已经足够进行开发了。其中没有create view权限,如果需要,手动加上即可。在这样的权限限制之下,再使用相应的方法即能够取得正确的数据表元信息了。