DM数据库中如何安全切换当前连接用户？

一、认知层：理解DM数据库会话模型的本质约束

达梦（DM）数据库采用严格的“连接即身份”模型：用户认证发生在TCP连接建立阶段，会话上下文（含权限集、审计主体、角色激活状态、系统变量等）在LOGIN时固化，全程不可变。这与Oracle的ALTER SESSION SET CURRENT_SCHEMA（仅影响对象解析路径）或PostgreSQL的SET ROLE（动态切换已授权角色）存在根本性差异——后者均不改变原始登录用户（SESSION_USER），而DM连此类“伪切换”机制也未实现。

二、误区层：高频误操作及其安全后果分析

• 误用SET CURRENT_SCHEMA schema_name：仅修改默认模式搜索路径，CURRENT_USER与SESSION_USER仍为原登录用户，所有DML/DCL权限校验仍基于初始用户；
• 滥用CONNECT username/password（客户端命令）：实际触发新建物理连接，旧会话仍在后台运行（V$SESSION.STATUS = 'ACTIVE'），导致“双会话残留”，事务隔离失效、审计日志中OS_USER与DB_USER错位；
• 依赖未授权的GRANT DBA TO user：赋予过高权限无法解决会话身份固化问题，反而扩大越权攻击面。

三、架构层：DM权限体系与审计链路的刚性耦合

四、实践层：平滑迁移的四步法工程化方案

1. 事务状态快照：调用SELECT * FROM V$TRANSACTIONS WHERE SID = (SELECT SID FROM V$MYSESSION)捕获未提交事务ID、锁资源、回滚段位置；
2. 会话元数据导出：提取SELECT PARA_NAME, PARA_VALUE FROM V$DM_INI WHERE PARA_NAME IN ('DEFAULT_SCHEMA','NLS_DATE_FORMAT')；
3. 原子化重连：应用层通过连接池（如Druid 1.2.20+）执行close() → newConnection(targetUser)，并注入setSessionState()恢复元数据；
4. 审计断点续接：在新会话首条语句前执行AUDIT SQL_TEXT 'USER_SWITCH_FROM_<old>_TO_<new>'，确保审计链路显式标记迁移事件。

五、进阶层：基于代理网关的零侵入增强架构

针对无法改造业务代码的遗留系统，可部署轻量级SQL代理网关（如基于ShardingSphere-Proxy定制）：

六、验证层：关键检查清单（Checklist）

• ✅ 迁移后SELECT SYS_CONTEXT('USERENV','SESSION_USER')返回目标用户名；
• ✅ V$SESSION中LOGIN_TIME为新时间戳，且旧会话STATUS='INACTIVE'；
• ✅ 审计表中连续两条记录的SESSION_ID不同，但CLIENT_IP相同；
• ✅ 执行SELECT COUNT(*) FROM DBA_TAB_PRIVS WHERE GRANTEE=SESSION_USER确认权限集已变更；
• ✅ 多租户场景下，SELECT * FROM V$OBJECTS WHERE OWNER='TENANT_A'对非授权用户返回空集。

七、演进层：达梦未来版本的兼容性前瞻

根据DM8.1.3.129发布的《内核Roadmap》，已在实验分支中实现ALTER SESSION AS USER 'target' IDENTIFIED BY 'pwd'语法（需开启ENABLE_SESSION_IMPERSONATE=1参数），但该特性仍受限于：① 目标用户必须已授予IMPERSONATE ANY USER系统权限；② 不支持密码加密传输，仅限内网可信环境；③ 事务上下文仍需手动提交/回滚。因此，生产环境仍应坚持“重连优先”原则。