您现在的位置：中国IT实验室 >> Oracle >> PLSQL >> 正文

Oracle 11gR1中细粒度访问网络服务

51CTO.com

黄永兵

2008-8-1

保存本文

推荐给好友

收藏本页

欢迎进入Oracle社区论坛，与200万技术人员互动交流 >>进入

Oracle允许使用几个PL/SQL API（UTL_TCP， UTL_SMTP， UTL_MAIL， UTL_HTTP和 UTL_INADDR）访问外部网络服务，这些API都使用TCP协议，在上一个数据库版本中（10g）是通过一个基于用户是否被授予执行某个包的许可的on/off开关来实现的，Oracle 11g引入了细粒度访问网络服务，

通过在XML DB 数据库中使用访问控制列表（ACL）来实现，允许控制哪个用户能够访问哪个网络资源，而不关心包的授权。

使用FTP或WebDav可以直接在XML DB 数据库中创建、修改和删除访问控制列表，Oracle提供了DBMS_NETWORK_ACL_ADMIN和DBMS_NETWORK_ACL_UTILITY程序包允许从PL/SQL管理访问控制列表，这些API就是本文的主角。

创建一个访问控制列表（ACL）

访问控制列表是使用DBMS_NETWORK_ACL_ADMIN程序包来操作的，CREATE_ACL存储过程使用下面的参数来创建一个新的访问控制列表：

？ acl - 访问控制列表XML文件的名字，产生在XML DB 数据库中的/sys/acls目录下？ description - 访问控制列表的描述信息？ principal - 第一个被授予或拒绝的用户账号，大小写敏感？ is_grant - TRUE意味着授予了权限，FALSE意味着权限被拒绝？ privilege - 给UTL_TCP， UTL_SMTP， UTL_MAIL和UTL_HTTP授予connect权限，给UTL_INADDR名称/ip解析授予resolve权限，大小写敏感？ start_date - 默认值是NULL，当指定了一个值后，访问控制列表只有在指定的日期到达时或到达后才被激活？ en_date - 访问控制列表结束日期（可选的）

下面的代码创建了两个测试用户充当委托人，然后又创建了一个新的访问控制列表。

CONN sys/password@db11g AS SYSDBA

CREATE USER test1 IDENTIFIED BY test1;
GRANT CONNECT TO test1;

CREATE USER test2 IDENTIFIED BY test2;
GRANT CONNECT TO test2;

BEGIN
  DBMS_NETWORK_ACL_ADMIN.create_acl (
    acl          => 'test_acl_file.xml', 
    description  => 'A test of the ACL functionality',
    principal    => 'TEST1',
    is_grant     => TRUE, 
    privilege    => 'connect',
    start_date   => SYSTIMESTAMP,
    end_date     => NULL);

  COMMIT;
END;
/

一旦创建完毕，访问控制列表就能够在http://host:port/sys/acls目录下看到。

使用ADD_PRIVILEGE存储过程将其他的用户或角色添加到访问控制列表中，它的参数与CREATE_ACL存储过程的参数类似，省略了DESCRIPTION参数，同时增加了POSITION参数，它用于设置优先顺序。

BEGIN
  DBMS_NETWORK_ACL_ADMIN.add_privilege ( 
    acl         => 'test_acl_file.xml', 
    principal   => 'TEST2',
    is_grant    => FALSE, 
    privilege   => 'connect', 
    position    => NULL, 
    start_date  => NULL,
    end_date    => NULL);

  COMMIT;
END;
/

每个委托人在访问控制列表中都被作为一个独立的访问控制单元（ACE）进行定义，当定义了多条原则时，他们按照从上到下的顺序被评估，直到最后一条定义权限的原则，这就意味着一个拒绝访问某个资源的角色可以被授予一个用户，但是如果这个用户又作为一个委托人定义在文件中时，这个定义将覆盖角色的定义，使用POSITION参数保证权限是按顺序进行评估的。

使用DELETE_PRIVILEGE存储过程移除权限，如果IS_GRANT或PRIVILEGE参数的值是NULL，将移除所有授予的权限。

BEGIN
  DBMS_NETWORK_ACL_ADMIN.delete_privilege ( 
    acl         => 'test_acl_file.xml', 
    principal   => 'TEST2',
    is_grant    => FALSE, 
    privilege   => 'connect');

  COMMIT;
END;
/

使用DROP_ACL删除访问控制列表

BEGIN
  DBMS_NETWORK_ACL_ADMIN.drop_acl ( 
    acl         => 'test_acl_file.xml');

  COMMIT;
END;
/

[1] [2] [3] [4] 下一页

【责编:Chuan】

相关产品和培训

文章评论

·IDC资讯大全
·机房品质万里行
·IDC托管必备知识
·网站推广优化
·全国IDC报价

　认证培训

　专题推荐

　·关于Java框架技术专题
　·XML全攻略技术专题
　·JAVA开源技术介绍专题
　·Java嵌入式开发之J2ME技术专题
　·超前体验 Oracle 11g的5个新特性…
　·揭密使用VB.NET的五个实用技巧
　·Oracle和SQL Server常用函数对比专题…
　·展现C#世界 C#程序设计专题…
　·Java入门 Tomcat的配置技巧精华专题…
　·Oracle RMAN物理备份技术详解…

　今日更新

· 关于Oracle学习以及DBA工作机会
· Oracle初学者入门指南-什么是Metalink?
· Oracle10g新进程 MMON 和 MMNL
· ORA-00600: kmgs_pre_process_request_6
· 创建Oracle数据库 win 10g
· Oracle RAC环境对并行查询的支持
· Oracle 10g下asm安装：候选盘问题
· 如何使用exp以传输表空间的方式将其导出
· 个人经验总结：Oracle数据库SCN号详解
· 讲解往表中顺序插入N条记录的简易方法

　社区讨论

　博客论点

　频道精选

· 新版CCNA考试大纲 07年8月1日生效
· 新手学习宝典：Linux常用命令全集
· 知已知彼，深入了解系统安全知识
· 从入门到精通 java初学者实践系列教程
· 共同学习——Oracle入门基础专题
· ADO.net与PowerBuilder的综合比较
· 评论：中国互联网“钱”途何在？
· 中科院：龙芯要成"中国奔腾" 能卖1亿颗

　Oracle频道相关导航