Добрый день!

Выполнил standalone установку ords3 без apex, в базе данных появились 2 пользователя ORDS_METADATA и ORDS_PUBLIC_USER.

В базе данных создал два пользователя с привилегиями connect и resouce, создал таблицы, через SQL Developert включил схемы и таблицы как доступные для REST. Через standalone сервер доступны таблицы из обоих схем.

Standalone-сервер подключен к БД через пользователя ORDS_PUBLIC_USER, у которого невысокие привилегии. Вопрос, каким образом с точки зрения привилегий из под непривилигированного пользователя ORDS_PUBLIC_USER получаем доступ к другим схемам?

irbis_al
Но он не совсем непривилегированный...
У него есть как минимум право сказать


а дальше доступ к объектам дело техники

Залогинился из под ords_public_user, сделал alter session set current_shema, но доступ к таблицам напрямую не появился.

Может есть информация, как именно из под ords_public_user получается доступ к объектам пользователя. Через пакеты ORDS_METADATA? Как-то по другому?

У меня есть предположение, что доступ к объектам осуществляется не через ords_public_user. Каждый раз при создании модуля я указываю из под какого пользователя происходит логин плюс сохраняю SQL запрос. Получается, что доступ к объектам пользователя происходит из под самого пользователя!

Petro123ords_orcl,
Схема разбора на приложение. Остальное технические, системные внутренние службы апекс.

Меня несколько пугают возможности ords. Я создал непривилегированного пользователя и парой нажатий кнопок его объекты стали доступны через web-сервисы. Хотелось бы получить больший контроль над ситуацией, чтобы через вебсервисы не стало доступно лишнее.

Petro123ords_orclнепривилегированного пользователя
Пишите проще.
Создали пустую схему my_user_зарплата
Добавили туда либо грант на чтение из другой либо таблу его собственную.
Так?

Пустой пользователь, права connect, resourse и либо квота на табличное простраство, либо Unlimited tablespace.

Захожу под этим пользователем, создаю таблицу, на таблицу кликаю правой кнопкой мыши, выбираю Enable REST Service..., на выходе SQL script ords.enable_object (...). Выполняю из под этого пользователя скрипт и таблица доступна через веб-сервис.

Migelle Ну вообще-то данный пользователь создавался из-под SYS-а и соответственно прав у него может быть много. В ранних версиях ords, насколько я помню, надо было вручную задавать права для доступа до чужих объектов командой

alter user <<USERNAME>> grant connect through APEX_REST_PUBLIC_USER;

сейчас скорее всего это делает конфигуратор Sql Developer-а, когда публикует таблицы в ORDS

P.S. Петра не читай, он как всегда не понял вопроса и несет не по делу.

ага, таблица proxy_users содержит записи, сейчас буду смотреть, как это работает через proxy

ords_orclMigelle Ну вообще-то данный пользователь создавался из-под SYS-а и соответственно прав у него может быть много. В ранних версиях ords, насколько я помню, надо было вручную задавать права для доступа до чужих объектов командой

alter user <<USERNAME>> grant connect through APEX_REST_PUBLIC_USER;

сейчас скорее всего это делает конфигуратор Sql Developer-а, когда публикует таблицы в ORDS

P.S. Петра не читай, он как всегда не понял вопроса и несет не по делу.

ага, таблица proxy_users содержит записи, сейчас буду смотреть, как это работает через proxy

Migelle, спасибо огромное за конструктив, разобрался в ситуации. Действительно, вся работа идет из под пользователя ORDS_PUBLIC_USER, у которого есть привилегии становиться другим пользователем и активировать его роли. В примере ниже вначале идет подключение из под ORDS_PUBLIC_USER, а во втором примере через proxy ORDS_PUBLIC_USER превращается в ORDSTEST