PL/SQL Challenge 每日一题：2018-6-22 角色

newkid

最先答对且答案未经编辑的puber将获得纪念章一枚(答案不可编辑但可发新贴补充或纠正)，其他会员如果提供有价值的分析、讨论也可获得纪念章一枚。

每两周的优胜者可获得itpub奖励的技术图书一本。

以往旧题索引：
http://www.itpub.net/forum.php?m ... eid&typeid=1808

原始出处：
http://www.plsqlchallenge.com/

作者： Chris Saxon

运行环境：SQLPLUS, SERVEROUTPUT已打开
注：本题给出答案时候要求给予简要说明才能得到奖品

你创建了如下的用户和表：

grant create session, create table, unlimited tablespace, create role
  to qz_owner identified by qz_owner;
  
grant create session
  to qz_user identified by qz_user;
  
create table qz_owner.qz_quizzes (
  quiz_id  integer not null primary key,
  question varchar2(1000) not null
);

哪些选项会赋予qz_user用户在qz_owner.qz_quizzes表上insert和select的权限?

也即：当你用qz_user连接之后，下列insert和查询都必须执行不出错：

insert into qz_owner.qz_quizzes values (1, 'Is this a question?');

select * from qz_owner.qz_quizzes;


你可以假设所有选项是以qz_owner连接，而上述测试是以qz_user连接的。

(A)
grant select, insert on qz_quizzes to qz_user;

(B)
create role qz_quiz_role;

grant select on qz_quizzes to qz_quiz_role;
grant insert on qz_quizzes to qz_quiz_role;

grant qz_quiz_role to qz_user;

(C)
create role qz_quiz_role;

grant qz_quiz_role to qz_user;

grant select, insert on qz_quizzes to qz_quiz_role;

(D)
create role qz_quiz_role;

grant qz_quiz_role to qz_user;

grant all on qz_quizzes to qz_quiz_role;

solomon_007

答案： ABCD

A: 直接授权
B: 先建角色，授权给角色，再把角色授权给用户
C: 与B 差不多，后授权也可以
D: 授予ALL，包括所有的对象权限，也可以，但比需要的大了一些

solomon_007

B,C 推荐

Joshan

答案ABCD
补充“solomon_007”的一点，赋予角色和赋予权限不同（往往被忽略的隐藏问题），赋予权限是立即生效，角色则不同，对于已经登录的session不起作用，即如果我先登录sessionA(用户qz_user),后通过另外一个sessionB会话(用户qz_owner)赋予角色给qz_user,那么之前已经登录的sessionA不能立即拥有该角色的权限。必须断开所有用户qz_user的会话重新登录，或者使用set role使新的角色生效。

solomon_007

Joshan 发表于 2018-6-27 09:45
答案ABCD
补充“solomon_007”的一点，赋予角色和赋予权限不同（往往被忽略的隐藏问题），赋予权限是立即 ...

  

newkid

答案ABCD, 2楼得奖。

A: 是的，这会直接把表上的insert和select权限赋予qz_user
B: 这会创建一个角色，然后把select 和 insert赋予角色。然后再把角色赋予qz_user。这会将角色中所有的权限给予qz_user
C: 就像直接授权一样，你可以在一个语句中给予一个对象之上的多个权限。
D: （不推荐）
Grant all 会给予下列权限：

alter               
delete               
insert               
select               
update               
read                 
on commit refresh   
query rewrite        
debug               
flashback

大大超出了必要的权限！应该避免这么做。

newkid

补充一下关于角色生效的问题：
All grants/revokes of roles to anything (users, other roles, PUBLIC) are only observed when a current user session issues a SET ROLE statement to re-enable the role after the grant/revoke, or when a new user session is created after the grant/revoke.