Вопрос: имеется коннект к ASA, выполненный от имени юзера А. Требуется имперсонировать юзера Б, то есть не переоткрывая коннекта (дабы иметь возможность работать с пулом подключений), выполнять запросы/процедуры так чтобы сервер воспринимал их как выполняемые пользователем Б. Можно ли это сделать и как?

VadimSokhaЕсли я правильно понял, то хочется что-то выполнить из возможностей DBA, но не имея коннекта DBA?

Нет. Нужно подконнектиться как A, а потом сделать с этим коннектом нечто чтобы current_user возвращал B, и права на выполнение процедур были как у B.

По сути нужен аналог SET SESSION AUTHORIZATION который можно выполнить не от DBA и передавать ему пароль.

White OwlНе только DBA может давать эту команду вообще-то. Любой юзер с правами DBA может делать setuser...
Расскажи задачу поподробнее, попробуем подсказать альтернативные пути решения. Лично мне setuser понадобился всего один-единственный раз. Да и то, для грязного хака :)


Подробнее, задача такова - имеется пул коннекшенов в J2EE сервере (GlassFish, JBoss). Естественно коннекты обезличенные. Хочется при обращении к базе, когда юзер получает коннекшн из пула, проимперсонировать юзера на уровне сервера БД, чтобы использовать встроенные средства безопасности сервера. То есть, юзер, получив коннект из пула, говорит этому коннекту "я Сидоров"; и в дальнейшем при выполнении запроса в этом коннекте сервер выполняет его с пермишенсами Сидорова, и разграничение доступа на уровне строк, и аудин в БД, и т.д - как для Сидорова.
Давать же тому юзеру под которым первоначально выполняется коннект (т.е. глассфишу), права ДБА - не хочется.

То есть нужно нечто вроде оракловского proxy autentification.

White Owl
Но повторюсь, у меня УЖЕ существовала навороченная система секьюрити основанная на том что каждый пользователь имеет свой логин в базу.

Аналогично. Просто сейчас к десктопной системе хочется пристыковать J2EE.

авторСразу после коннекта делалось переключение юзера и все.

Ну, мне нужно не сразу после коннекта а после получения коннекта из пула. Но принцип тот же по идее.


автор


Подразумевается что webuser имеет права DBA?

авторА если система еще только разрабатывается, то я предпочел бы сделать простую табличку web_user_features и в ней перечислять web-логины и features (как это на русском то будет, "функциональные области приложения"?) И читать эту табличку в логинном скрипте веб-сайта. Потом соотвественно показывать/прятать доступные/недоступные features. А в самой базе будет только один единственный юзер (webuser) со всеми правами.

Система эксплуатируется 2,5 года :) И в ней уж очень много завязок на разделение прав доступа на уровне строк, закрученных на current_user :)

Но в твоем решении, всё-таки, нужен первоначальный коннект пользователем с правами DBA. Такое решение мне тоже приходило в голову, но хочется первоначального юзера сделать вообще бесправным, и внутри коннекта переаутентифицироваться :)