CREATE ROLE my_read_only_role;
BEGIN
FOR x IN (SELECT table_name FROM dba_tables WHERE owner=<<schema name>>)
LOOP
EXECUTE IMMEDIATE 'GRANT SELECT ON ' || x.table_name || ' TO my_read_only_role';
END LOOP;
FOR y IN (SELECT view_name FROM dba_views WHERE owner=<<schema name>>)
LOOP
EXECUTE IMMEDIATE 'GRANT SELECT ON ' || y.view_name || ' TO my_read_only_role';
END LOOP;
END;
/
GRANT my_read_only_role TO new_customer_account;
create user new_customer_account
IDENTIFIED BY new_password
DEFAULT TABLESPACE USERS
TEMPORARY TABLESPACE TMP
PROFILE DEFAULT
ACCOUNT UNLOCK;
GRANT CONNECT TO new_customer_account;
GRANT CREATE SESSION TO new_customer_account;
ALTER USER new_customer_account QUOTA 0 ON users;
application_user 授予相关视图(和/或表)的选择权限:
BEGIN
FOR i IN (SELECT *
FROM all_views
WHERE owner = ''
AND relevant_where_clause) LOOP
EXECUTE IMMEDIATE 'GRANT SELECT ON application_user.'
|| i.view_name || ' TO new_customer_account';
END LOOP;
END;
之后,new_customer_account 创建新的同义词:
BEGIN
FOR i IN (SELECT *
FROM all_views
WHERE owner = 'application_user'
AND relevant_where_clause) LOOP
EXECUTE IMMEDIATE 'CREATE SYNONYM ' || i.view_name
|| ' FOR application_user.' || i.view_name;
END LOOP;
END;
您需要一个单独的帐户来授予只读访问权限。我建议添加一个您也授予只读访问权限的角色 - 如果将来有更多用户需要此访问权限,您可以重新使用该角色。
完成后,新帐户将需要在表名称前加上模式名称的前缀以选择数据。或者,您可以为每个对象创建公共同义词(您可以在上面的代码中为每个循环添加另一个 EXECUTE IMMEDIATE)。或者你可以让用户运行命令
登录时。您还可以在新帐户中创建一个自动执行此操作的登录触发器。这将导致
<<schema name>>被隐式添加为模式前缀。它不影响会话的权限——用户仍然具有只读权限,默认模式名称刚刚更改。我创建了没有配额的 new_customer_account 作为 sysdba:
application_user 授予相关视图(和/或表)的选择权限:
之后,new_customer_account 创建新的同义词:
我很确定您必须创建一个新帐户,并且只向该用户授予选择权限。