在 Oracle 中撤销表的权限

Question

我正在尝试使用 Query 撤销 Employee 表的 SELECT 权限

REVOKE SELECT ON ODS_INSTALL.employee FROM ODS_INSTALL;

目前我以SYSTEM 用户身份连接，但在连接到ODS_INSTALL 并触发查询后：

从员工中选择 *；

我得到了输出，但它应该给出一个关于权限不足的错误。 可能是什么问题？

Answer 1

在 Oracle 中，模式是用户，据我所知，您不能 REVOKE 来自其所有者的表的特权。

奇怪的是你没有错误，就像在我的测试系统（Oracle 11g）上一样：

(as system)
SQL> revoke select on sylvain.n from sylvain
*
ERROR at line 1:
ORA-01927: cannot REVOKE privileges you did not grant

(as sylvain)
SQL> revoke select on n from sylvain;
revoke select on n from sylvain
                        *
ERROR at line 1:
ORA-01749: you may not GRANT/REVOKE privileges to/from yourself

（之前发出GRANT 不会改变任何东西）

基本上，对象权限旨在授予/撤销其他用户对您的对象的访问权限。也许您应该将您的表移动到一个专用架构，并在该架构中授予ODS_INSTALL 的插入/更新/删除权限？

---

如果您真的需要限制用户访问自己的表，我能看到的唯一方法是使用Virtual Private Database。从广义上讲，您将write a function that dynamically generate an extra WHERE clause Oracle 将自动附加到每个用户查询。

CREATE OR REPLACE FUNCTION auth_orders( 
  schema_var IN VARCHAR2,
  table_var  IN VARCHAR2
 )
 RETURN VARCHAR2
 IS
  return_val VARCHAR2 (400);
 BEGIN
  RETURN '1=0'; -- always false: "hide" all rows
 END auth_orders;
/

并使用以下方式安装它：

BEGIN
  DBMS_RLS.ADD_POLICY (
    object_schema    => 'ODS_INSTALL',
    object_name      => 'employee',
    policy_name      => 'orders_policy',
    function_schema  => 'sys',
    policy_function  => 'auth_orders',
    statement_types  => 'select'
   );
END;

查看Is to possible to forbid access to tables in own schema - Oracle? ^{[dba se]}了解更多详情。