Oracle存储过程执行权限 .

默认情况下，在调用存储过程用户的角色是不起作用的，即在执行存储过程时只有Public权限。所以如果被调用的存储过程中如果有execute immediate 'create table..'语句，将会引发ORA-01031: insufficient privileges错误。

存储过程分为两种，即DR(Definer's Rights ) Procedure和IR(Invoker's Rights ) Procedure。为什么会有两种存储过程呢？其实考虑完下面的问题就清楚了。比如说用户hrch创建了删除表tar_table的存储过程drop_table()，当用户hrch调用时，即删除用户hrch下的表tar_table；如果是另一个用户scott调用呢？是删除用户scott下的tar_table表呢，还是删除用户hrch下的tar_table呢？另外，如果存储过程中包含建表语句，不管是用户hrch还是用户scott调用都会失败，因为Public没有建表权限，除非为Public
grant建表权限。所以，存储过程的调用者会面临两个问题：

存储过程的名称解析环境
存储过程的执行权限

这两个问题可以在定义存储过程时，通过指定AUTHID 属性，即定义DR Procedure 和IR Procedure来解决。

DR Procedure

1、定 义

CREATE OR REPLACE procedure DEMO(ID in NUMBER) AUTHID DEFINER as

...

BEGIN

...

END DEMO;

2、名称解析环境为定义该存储过程的用户所在的Schema。

3、执行该存储过程时只有Public权限。

IR Procedure

1、定 义

CREATE OR REPLACE procedure DEMO(ID in NUMBER) AUTHID CURRENT_USER as

...

BEGIN

...

END DEMO;

2、名称解析环境为调用该存储过程的用户所在的Schema。

3、执行该存储过程时拥有调用者的所有权限，即调用者的Role是有效的。

如果不指定AUTHID，默认值是DEFINER。另外匿名块(DECLARE BEGIN END;)总是IR Procedure，触发器和视图总是DR Procedure。我们可以通过视图*_PROCEDURES来查看存储过程的AUTHID属性值。

以下是官方说明：

http://download-uk.oracle.com/docs/cd/B28359_01/appdev.111/b28370/subprograms.htm