使用引用授予对象的访问权限¶

按名称标识的对象¶

引用 按名称 标识对象。这意味着，如果在创建引用后重命名对象，则引用无效。但是，如果创建同名的新对象，则引用 可能 有效。例如，角色 my_role 为具有 SELECT 权限的表 my_table1 创建引用 my_ref1。创建引用后，将删除表 my_table1 并创建名为 my_table1 的 新 表。引用 my_ref1 使用名称 my_table1 标识表。在本例中，它标识 新 表 my_table1。

如果用于创建引用的角色以及授予的 my_table1 权限仍然有效，则在使用引用时将授予新 my_table1 的访问权限。

如果引用中封装的角色和权限不再有效，则无法授予表 my_table1 的访问权限，并且必须为新表创建新引用。

在执行时验证的权限¶

在使用引用时，验证向引用创建角色授予的权限。例如，角色 my_role 为具有 SELECT 权限的表 t1 创建引用。如果 my_role 删除或者表 t1 的 SELECT 权限从 my_role 中撤消，则引用中封装的权限不再有效。当引用传递给需要表的 SELECT 权限的存储过程时，存储过程将失败并显示权限错误。

引用类型和引用生命周期¶

引用的生命周期可以在创建时指定。

• 瞬态引用 的生命周期有限，无论是在传递引用的调用期间，还是在会话期间。

• 持久引用 的生命周期无限。引用将保持有效，直到删除了它引用的对象、取消设置引用或引用变为无效。

  有关取消设置引用的示例，请参阅 取消设置应用程序的持久引用。

  由于以下任何原因，引用可能失效：

  • 它引用的对象被重命名。

  • 创建引用的角色被删除。

  • 创建引用的角色不再具有对象的权限。

  有关更多信息，请参阅 按名称标识的对象 和 在执行时验证的权限。

所有者权限存储过程的引用¶

所有者权限存储过程 使用 所有者 的权限执行，而不是使用 调用方 （执行存储过程）的权限执行。要对调用方有权访问的表、视图或函数执行操作，调用方必须传递对表、视图或函数的引用。借助引用，存储过程能够使用引用创建者（在本例中为调用方）的权限，对引用标识的对象执行操作。

应用程序和类的引用¶

根据设计，应用程序和类 无 权访问账户（在其中安装应用程序或创建类实例）中的对象。用户可以创建引用，从而向应用程序或类实例授予对象的访问权限。

支持的引用对象类型和权限¶

下表列出了引用可以包含的对象类型、可以创建的引用类型以及每个对象允许的权限：

查询引用¶

查询引用 是一种瞬态引用。它引用 SELECT 语句，可用于存储过程中另一个 SQL 语句的 FROM 子句。您可以使用 SYSTEM$QUERY_REFERENCE 函数创建查询引用。

有关更多信息，请参阅 使用查询引用。

示例¶

向具有 SELECT 权限的表 t1，创建具有会话作用域的瞬态引用。

SELECT SYSTEM$REFERENCE('TABLE', 't1', 'SESSION', 'SELECT');

要在引用该表的作用域的生命周期内创建对同一表的引用（例如，如果将其传递给存储过程，则其生命周期将为存储过程最外层块的生命周期），请执行以下语句：

SELECT SYSTEM$REFERENCE('TABLE', 't1', 'CALL', 'SELECT');

向具有 INSERT 权限的表 t1，创建持久引用以传递到应用程序。

SELECT SYSTEM$REFERENCE('TABLE', 't1', 'PERSISTENT', 'INSERT');

创建要传递给存储过程的查询引用。此瞬态引用的生命周期适用于引用传递到的存储过程的最外层块：

SELECT SYSTEM$QUERY_REFERENCE('SELECT id FROM my_table', FALSE);

对于其他示例：

• 有关存储过程示例，请参阅 简单示例。

• 有关 Native App Framework 应用程序示例，请参阅 将引用关联到应用程序。

• 有关类实例示例，请参阅 使用标记数据训练异常检测模型。