1) Есть некая таблица OWNER.TAB
2) Есть APEX workspace APEX_WS (+аналогичная схема).
3) Табличка грантована воркспейсу grant select on OWNER.TAB to APEX_WS;
4) Со странички апекса эта табличка отлично читается в репорте

А теперь интересное
5) Ревокаем таблицу revoke OWNER.TAB from APEX_WS;
6) Обновляем страницу в APEX получаем table not found (логично)

7) Даю грант обратно и лочу APEX_WS
8) Все работает

В общем обнаружил, что вне зависимости от того залочен аккаунт или нет, APEX работает и исправно или ругается на отсутствующие гранты. Аудит показал что APEX_WS не имел коннект вообще в течении года. Тоесть APEX все равно залочен он или нет.

Вскрытие показало, что APEX работает от пользака APEX_PUBLIC_USER, никаких прокси аккаунтов в базе нет. APEX_PUBLIC_USER не имеет никаких особых привелегий нет. Есть гранты на таблицы и хранимые процедуры схемы APEX_050100.

Вопрос. Каким всетаки образом он получает доступ к схеме APEX_WS? Есть еще схема APEX_050100(залоченная), которой грантованы куча dbms пакетов+inherit any privileges системная привелегия.

Я бы не удивился если бы запрос запускался под расширенными правами DBA (от APEX_050100 или SYS), но я не понимаю почему когда я удаляю привелегии у APEX_WS доступ к таблице тоже исчезает.

Может кто сможет обьяснить механизм? Интерес к этой проблеме чисто спортивный.