а мне на этом форуме советовали fgac)) хорошая такая штука, которой парвда нельзя злоупотреблять))

у вас же для отдельного приложения свой отдельный пользователь, под которым оно коннектиться к схеме ?

написать процедуру, которая будет выдавать фигу конкретно этому пользователю

не ? норм мысль?

ViewerOzornitcaмне советовали fgac...правда нельзя злоупотреблять
... будет выдавать фигу конкретно этому пользователю
use FGAC with EM (кузькина мать или фига с маслом) "Вертит Очками fgac так и сяк:
То к темю их прижмет, то их на хвост нанижет,
То их понюхает, то их полижет;"

да блин, я же сказала - не злоупотребляя)

можно ли навесить fgac на процесс авторизации ? там же тоже обращается к системной какой таблице с логинами паролями?

вообще тут принято отвечать то стихами, то выписками из классической прозы...

эрудированный форум!

dba123Ozornitcaа мне на этом форуме советовали fgac)) хорошая такая штука, которой парвда нельзя злоупотреблять))
у вас же для отдельного приложения свой отдельный пользователь, под которым оно коннектиться к схеме ?
написать процедуру, которая будет выдавать фигу конкретно этому пользователю
не ? норм мысль?
Ozornitcaпо моему - это вы пренебрегаете элементарными логическими рассуждениями со своими выводами : у вас все работают под владельцем (феерично), затем - у пользователей есть что-то кроме навигатора ... я валяюсь, чесслово

Довольно просто сделать приложение с несколькими схемами

Например, клиент-серверное приложение:
- изъяты все any privileges от известных тебе людей

- пользователи оракловые, со своими профилями(смена пароля, лимиты..)
--имеют привилегию create session, как минимум, для ЕЕ достаточно)

- схема данных OZDATA(таблицы, представления, OZPROC(пакеты, процедуры), триггеры ...) пользователь заблокирован

- схема ограниченного доступа OZSECURITY (таблицы логов/аудита, представления, пакеты, процедуры, триггеры) пользователь заблокирован
--имеет возможность создавать новых пользователей
--раздавать им права от имени других

- пользователь OZPROXY для прокси подключения к схеме данных

- созданы роли для любых производственных групп(как минимум, у всех insert в АУД/ЛОГ табле)

Даже синонимы не нужны(если нет тестовых схем).

Юзер
зашел в приложение
,попал в схему OZDATA
,имеет доступ к данным/процедурам в этой схеме согласно ролям.

Вот теперь можно использовать разграничение доступа к таблицам на уровне строк или меток.
Что сложного в такой структуре?

очень интересно

вопрос: если приложений много больше 5- для каждого создавать по несколько схем ?

а вообще честно говоря что-то я плохо ориентируюсь в нарисованной вами архитектуре, надо мне чет почитать.

dba123,
спасибо я посмотрю!