深入了解模仿的必要条件

用户只要满足必要条件即可成功模仿其他用户。条件验证在执行 SETUSER 语句时进行，而不是在授予 SET USER 系统特权时进行。如果用户在发出 SETUSER 语句时不满足任何条件，则模仿尝试失败并返回错误。

要成功模仿需要满足以下四个条件：

已授予模仿者模仿目标用户的权限。
模仿者至少具有目标用户被授予的所有角色和系统特权。
已授予模仿者对角色和系统特权的类似或更多管理权限。

为了满足管理权限条件，将考虑使用 WITH ADMIN OPTION 和 WITH ADMIN ONLY OPTION 子句授予类似的管理权限。与 WITH NO ADMIN OPTION 子句相比，考虑使用它们可授予更多的管理权限。例如，使用 WITH ADMIN OPTION 子句授予用户 1 角色 1，使用 WITH ADMIN ONLY 子句授予用户 2 角色 1，使用 WITH NO ADMIN OPTION 子句授予用户 3 角色 1。将认为用户 1 和用户 2 拥有角色 1 以及类似的管理权限。认为用户 1 和用户 2 也拥有角色 1，并比用户 3 具有更多的管理权限。
如果已授予目标用户支持附加参数（也称为扩展）的系统特权（例如，当授予 SET USER 系统特权时可提供用户 ID 列表），则用于向模仿者授予系统特权的子句是目标用户所用子句的超集。

目前，仅 SET USER 和 CHANGE PASSWORD 系统特权支持扩展。向模仿者授予 SET USER 和 CHANGE PASSWORD 时指定的扩展必须与向目标用户授予 SET USER 或 CHANGE PASSWORD 时指定的扩展相同或是其超集。根据以下内容进行判断：
- 将 ANY 扩展视为 role-list 扩展（角色列表）和 users-list 扩展（用户列表）的超集。如果目标用户具有含 ANY 扩展的 SET USER 系统特权（例如，GRANT SET USER ANY TO user1），模仿者也必须具有 ANY 扩展。
- 如果目标用户具有同时包含 role-list 和 users-list 的 SET USER 系统特权，模仿者也必须具有包含这两个扩展的系统特权，并且每个扩展的列表必须与目标用户的相应扩展相同或是其相应扩展的超集。例如，如果模仿者和目标用户的扩展列表均分别包含用户 1、用户 2 及角色 1、角色 2，则授予每个子句的目标列表将视为相同。或者，如果模仿者的 users-list 分别包含用户 1、用户 2 、角色 1 、角色 2，而目标用户的 users-list 仅包含用户 1、角色 2，则认为模仿者的 users-list 是目标用户列表的超集。
- 如果目标用户具有包含单个列表扩展的 SET USER 系统特权，则模仿者的扩展列表必须与目标用户的列表相同或是其列表的超集。例如，如果模仿者和目标用户的 user_list 均包含用户 1 和用户 2，则认为它们相同。如果模仿者的 user_list 包含用户 1、用户 2，而目标用户的 user_list 仅包含用户 2，则认为模仿者的 user_list 是目标用户 user_list 的超集。
因此，如果模仿者具有的 SET USER 或 CHANGE PASSWORD 系统特权包含对使用对象有所限制的扩展，而目标用户具有的系统特权没有限制，则模仿将因未满足关于扩展的必要条件而失败。

第 1 种情形

假设满足第二个和第三个条件，考虑以下情形：

共有五个用户：用户 1、用户 2、用户 3、用户 4 和用户 5。
存在两个角色：角色 1 和角色 2。
使用 ANY 子句向用户 1 授予了 SET USER 系统特权。
使用用户 1 和用户 4 的 user-list 子句向用户 2 授予了 SET USER 系统特权。
使用用户 1、用户 2、用户 4 和用户 5 的 user-list 子句及角色 1 和角色 2 的 ANY WITH ROLES role-list 子句向用户 3 授予了 SET USER 系统特权。
使用 ANY 子句和角色 1 的 role-list 子句向用户 4 授予 SET USER 系统特权。
使用用户 4 的 user-list 子句以及角色 1 的 ANY WITH ROLES role-list 向用户 5 授予 SET USER 系统特权。
由于用户 1 和用户 4 均使用 ANY 子句被授予 SET USER 系统特权，因此可成功模仿用户 2、用户 3 和用户 5。（条件 4）。

用户 2、用户 3 和用户 5 无法模仿用户 1 或用户 4，因为没有使用 ANY 子句授予他们特权。（条件 4）

用户 2 无法模仿用户 3 或用户 5，因为：

未授予用户 2 模仿这些用户的权限。（条件 1）
未使用 role-list 子句向用户 2 授予 SET USER 系统特权。（条件 4）

用户 3 可成功模仿用户 2，因为：

使用 user-list 子句向用户 3 授予了模仿用户 2 的权限。（条件 1）
用户 3 的 user-list 子句是用户 2 的超集。（条件 4）虽然已使用 role-list 子句授予用户 3 权限，无需满足模仿用户 2 的要求，因为没有授予用户 2 相同的权限。

用户 3 可成功模仿用户 5，因为：

使用 user-list 子句向用户 3 授予了模仿用户 5 的权限。（条件 1）
用户 3 的 user-list 子句列表是用户 5 的超集。（条件 4）
用户 3 和用户 5 的 role-list 子句列表相同。（条件 4）

用户 5 无法模仿任何其他用户，因为：

已使用 ANY 子句向用户 1 和用户 4 授权（条件 4）
已使用 user-list 子句向用户 2 和用户 3 授权，授予的权限不是用户 5 被授予权限的子集。（条件 4）

第 2 种情形

假设满足第一个和第四个条件，考虑以下情形：

存在两个用户：用户 6 和用户 7。
存在两个角色：角色 4 和角色 5。
已使用 WITH ADMIN OPTION 子句授予用户 6 角色 4、使用 WITH ADMIN ONLY OPTION 子句授予角色 5，并使用 WITH ADMIN OPTION 子句授予 MANAGE ANY USER 系统特权。
已使用 WITH ADMIN OPTION 子句授予用户 7 角色 4 并使用 WITH NO ADMIN OPTION 子句授予角色 5。

用户 6 可成功模仿用户 7，因为：

用户 6 和用户 7 均已被授予角色 4 和角色 5。是否向用户 6 授予其它特权（MANAGE ANY USER 系统特权）并无关系。（条件 2）
授予用户 6 角色 4，以及用户 7 针对该角色的相同管理权限。授予用户 6 角色 5，以及比用户 7 针对该角色更多的管理权限。（条件 3）

用户 7 无法模仿用户 6，因为：

授予用户 7 角色 4 和角色 5，但未授予 MANAGE ANY USER 系统特权。（条件 2）
授予用户 7 角色 5，以及比用户 6 针对该角色更少的管理权限。（条件 3）

第 3 种情形

考虑以下情形：

存在三个用户：用户 8、用户 9 和用户 10。
存在两个角色：角色 5 和角色 6。
已使用 WITH ADMIN OPTION 子句授予用户 8 角色 5，并使用 WITH ADMIN OPTION 子句授予 MANAGE ANY USER 系统特权。
已使用 WITH NO ADMIN OPTION 子句授予用户 9 和用户 10 角色 5。
已使用 user-list 子句授予用户 8 SET USER 系统特权来模仿用户 9 和用户 10。
已使用 user-list 子句授予用户 9 SET USER 系统特权来模仿用户 10。

用户 8 可成功模仿用户 9，因为：

使用 user-list 子句授予了用户 8 模仿用户 9 的权限。（条件 1）
用户 8 的 user-list 子句列表是用户 9 的超集。（条件 4）
用户 8 和用户 9 均被授予角色 5，但相比用户 9，向用户 8 授予了更多对该角色的管理权限。（条件 2 和 3）

用户 8 可成功模仿用户 10，因为：

已授予用户 8 模仿用户 10 的权限。（条件 1）
由于未授予用户 10 SET USER 系统特权，条件 4 不适用。
用户 8 和用户 10 均被授予角色 5，并且二者获得的对该角色的管理权限相同。（条件 2 和 3）

用户 9 无法模仿用户 8，因为：

未授予用户 9 模仿用户 8 的权限。（条件 1）
虽然用户 8 和用户 9 均被授予角色 5，但相比用户 8，向用户 9 授予的对该角色的管理权限较少。（条件 3）

条件验证在执行 SETUSER 语句时进行，而不是在授予 SET USER 系统特权时进行。如果用户在发出 SETUSER 语句时不满足任何条件，将出现权限被拒绝消息，并且不会开始模仿。

另请参见

使用DocCommentXchange讨论此页。