概述：都是在工作中，边工作边学习。有的是因为遇到问题，进行总结；有的是看书学习到的。

 针对authid current_user和authid definer的区别：

在编写PLSQL程序时，对于授权的考虑很重要。ORACLE PLSQL中提供两种授权选择：

--AUTHID DEFINER （定义者权限）：指编译存储对象的所有者。也是默认权限模式。

--AUTHID CURRENT_USER（调用者权限）：指拥有当前会话权限的模式，这可能和当前登录用户相同或不同(alter session set current_schema 可以改变调用者Schema)

一般情况下，编写PLSQL程序，都是默认权限模式的。 

 

•  案例1

 

用户sys:

用户sys新建一个存储过程PRC_TEST，这里authid current_user

create or replace procedure prc_test

authid current_user

as

 v_count number;

begin

select count(*) into v_count from dba_objects;

 dbms_output.put_line(v_count);

end;

 用户sys授权scott有执行这个存储过程sys.prc_test的权限。

grant execute on sys.prc_test to scott;

用户scott:

用户scott执行存储过程sys.prc_test

begin

  sys.prc_test;

end;

 报错：表或视图不存在。

 

 这里面是因为scott没有dba_objects的访问权限。

用户sys:

用户sys新建一个存储过程prc_test，这里不指定authid，即默认的authid definer。

create or replace procedure prc_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

用户scott:

用户scott执行存储过程sys.prc_test

begin

 sys.prc_test;

end;

 执行成功。authid definer是使用定义者的权限去运行的，sys有select dba_objects的权限，所执行成功。

•  案例2：

用户system:

用户system新建一个存储过程prc_test2，这里不指定authid，即默认的authid definer

create or replace procedure prc_test2

 as

  begin

  execute immediate 'create table scott.tb_01 as select * from dual';

end;

 用户system执行存储过程system.prc_test2

begin

  system.prc_test2;

end;

 报错，无权限。虽然system有执行create table scott.tb_01的权限，但这个权限是角色DBA中的权限，在authid definer的存储过程是disabled。

用户system新建一个存储过程p_test2，这里authid current_user:

create or replace procedure prc_test2

authid current_user

 as

  begin

  execute immediate 'create table scott.tb_01 as select * from dual';

end;

 用户system执行存储过程system.prc_test2:

begin

  system.prc_test2;

end;

 执行成功。authid current_user时，使用存储过程的会话的角色DBA中的权限是enabled，所以执行成功。这一点可以通过在存储过程中查看session_roles视图来验证。

• 案例3：

用户system:

用户system授权DBA角色给scott。这里注意，scoot只有授权之后的新会话才具有DBA角色。

grant dba to scott;

用户scott:

用户scott新建一个存储过程prc_test

create or replace procedure prc_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

 

编译时报错，表或视图不存在。因为scott虽然具有DBA的角色，但在编译时，角色是disabled。这里不论authid current_user还是authid definer，因为authid属性是作用于运行时，而不是编译时。

 

用户system:

--用户system授权dba_objects视图的select权限给scott。

grant select on dba_objects to scott;(如果system没权限授权的话，记得用sys)

用户scott:

用户scott新建一个存储过程prc_test

create or replace procedure prc_test

 as

  v_count number;

begin

  select count(*) into v_count from dba_objects;

  dbms_output.put_line(v_count);

end;

 编译成功。因为这时scott具有对视图dba_objects的select权限，而且这个权限不是来自于角色。

最后总结一下：

1.authid current_user使用的是调用者的权限去运行，authid definer使用定义者的权限去运行。

2.角色在authid definer的存储过程中是disabled。

3.存储过程编译时角色也是disabled，并且不验证动态SQL的权限。

4.以上也适用于函数、触发器，即命名的PL/SQL块。

 供参考。