问题1：应授予Oracle开发者何种只读角色，使其能够通过Versions查询查看闪回数据？ #

Oracle并没有内置的、专门用于仅通过VERSIONS查询查看闪回数据的只读角色，但你可以通过两种灵活的方式实现需求：

• 方式一：直接组合系统权限
  给开发者授予FLASHBACK ANY TABLE系统权限，同时确保他们拥有目标表的SELECT权限——可以是SELECT ANY TABLE这类通用系统权限，也可以针对特定业务表单独授予SELECT权限。

• 方式二：创建自定义只读角色
  如果你想把权限打包成专用角色，方便批量管理和授权，可以创建自定义角色：

  -- 创建自定义只读角色
  CREATE ROLE flashback_read_only_role;
  
  -- 授予通用的查询和闪回权限（如果需要限制到特定表，替换成下面的表级权限）
  GRANT SELECT ANY TABLE TO flashback_read_only_role;
  GRANT FLASHBACK ANY TABLE TO flashback_read_only_role;
  
  -- 针对特定表的权限示例（不需要通用权限时使用）
  -- GRANT SELECT, FLASHBACK ON your_schema.your_table TO flashback_read_only_role;
  
  -- 将角色授予目标开发者用户
  GRANT flashback_read_only_role TO your_developer_user;
  

问题2：如何仅允许用户通过VERSIONS BETWEEN查询查看数据，而不赋予闪回表的权限？ #

其实你已经摸到关键点了——闪回表（FLASHBACK TABLE）操作需要额外的ALTER TABLE权限，只要你不授予用户这个权限，哪怕他们有FLASHBACK（表级）或FLASHBACK ANY TABLE系统权限，也只能执行VERSIONS BETWEEN这类查询操作，无法修改表结构或恢复表到过去的状态。

具体操作方案：

• 针对单个表授权：只授予SELECT和FLASHBACK权限，明确跳过ALTER TABLE：

  GRANT SELECT, FLASHBACK ON your_schema.target_table TO your_user;
  

• 使用系统权限：授予SELECT ANY TABLE和FLASHBACK ANY TABLE，但绝对不要授予ALTER ANY TABLE系统权限，也不要给用户单独的表级ALTER权限。

另外，如果你启用了闪回数据归档（FDA），只要用户对原表有SELECT权限，就可以通过VERSIONS查询访问归档的历史数据，不需要额外的归档权限。

内容的提问来源于stack exchange，提问作者mediocre_10