Oracle使用者訪問許可權與PUBLIC角色的關係

在資料庫中建立了一個使用者，這是給第三方系統用的。客戶強調，這個使用者只能訪問到有限的表，在我們規定的範圍內的表。

於是，我建立 一個使用者，如user_third ，只給了connect 角色，用grant select on table 有限授權。

為此，我寫了一文，請見 如何實現 中使用者 B只能訪問使用者 A的檢視 （ ）

使用者訪問密碼交給客戶後，又發現一個新問題，它居然能訪問其他使用者的表。

我核實了一下，發現它確實能訪問別的使用者的表。如資料 庫中TT 使用者下的表。

這是怎麼回事？

您從我列出的標題中，一定猜到了吧。這事一定 public 角色有關。

在 Oracle TimeTen 建立時，它建立的表會自動將它的查詢許可權授予給 public 角色。

而資料庫中任何一個使用者都預設擁有 public 角色。

因此，問題就在 public 角色的許可權上。我們只需要查詢 public 角色授予了哪些許可權，再撤銷這些許可權即可。

透過執行下列 SQL ，我們能判斷出哪些許可權授予給了 public 角色。

SELECT GRANTOR,OWNER,TABLE_NAME,PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE='PUBLIC';

部分結果如下：

GRANTOR                         OWNER                           TABLE_NAME                      PRIVILEGE

------------------------------ ----------------------------------------

××　　 GTJA                            TT_03_24577_L                   UPDATE

GTJA                            GTJA                            TT_03_24577_L                   SELECT

GTJA                            GTJA                            TT_03_24577_L                   INSERT

GTJA                            GTJA                            TT_03_24577_L                   DELETE

TT 表的查詢更新刪除插入許可權都授予給了public 角色。這個很恐怖，對資料庫系統的安全是有破壞的。

基於此，我們可以判定任何一個資料庫使用者都可以對這些表做查詢更新刪除插入操作。

怎麼解決這個許可權問題，是很簡單的。但一定要保證不能影響到TT 的正常使用。這是個權衡的問題，可用性和安全兩個角度的權衡。如果TT 不正常了，就考慮將其遷移到其他庫上去，最好是獨立的僅供TT 使用的庫。

具體解決方法如下：

1 、從Oracle TimeTen 上解決，在建立cachegroup 時，將授予公共許可權的選項除掉。當然這麼做的前提是要保證TT 能夠正常使用。

2 、從資料庫中將這些許可權從public 角色撤銷。同樣前提是TT 在這些許可權撤銷後能正常工作。

撤銷方法示例如下：

revoke select on   TT_03_24577_L from public;

總結一下，這個例項說明了Oracle 的許可權真夠複雜的，日常管理時一定要留意一下public 角色的許可權。

更多Oracle相關資訊見 專題頁面