Oracle角色权限之Default Role

时间 2021-04-10

标签 linux 数据库 session 框架 ide 对象 asm table 栏目 Oracle 繁體版

原文原文链接

Oracle角色权限之Default Role

Oracle系统权限基础是创建在三个维度层面上，即系统权限（System Privilege）、对象权限（Object Privilege）和角色权限（Role Privilege）。系统权限定义了用户能够执行的某些行为操做；对象权限定义了用户在某个系统对象（如数据表、视图等）的操做权限；角色权限更像是一个容器对象，能够将一组系统权限、对象权限甚至其余角色权限容纳到其中。linux

三个维度权限在三个层面上构建了Oracle权限体系框架。传统应用系统的一种配置方式是在数据库层面创建用户，配置相关权限进行操做。这样的系统还能够在一些旧应用系统或者国外业务系统中看到。随着Web应用的普遍使用，Oracle权限体系需求的复杂性实际上是在不断下降的。Web应用一般只须要链接一个Schema用户名便可，用户体系是在应用层面加以实现。数据库

最近笔者遇到一个关于角色Role的问题，最后发现是一个Default Role这个常常被忽视的设置出现问题。本文主要系统介绍一下这个特色功能。session

一、环境介绍框架

Oracle的权限体系在过去的版本中都在不断地发展丰富，笔者讨论基于Oracle 11g，具体版本号为11.2.0.4。ide

SQL> select * from v$version;对象

BANNERit

--------------------------------------------------------------------------------io

Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Productionasm

PL/SQL Release 11.2.0.4.0 - Productiontable

CORE 11.2.0.4.0 Production

TNS for Linux: Version 11.2.0.4.0 - Production

NLSRTL Version 11.2.0.4.0 – Production

创建一个全新的用户。

SQL> create user test identified by test;

User created

二、Default Role概论

和系统权限、对象权限相比，角色权限是比较特殊的一种权限类型。它更像是一种组合容器，能够将其余权限以组Group的方式进行组织。通常来讲，角色权限Role Privilege最经常使用的场景是简化管理难度，实现标准化配置管理。另外一个角色权限的特色是动态赋予。系统权限和对象权限一旦赋予，用户只要登陆就直接得到。而角色权限在这个问题上是能够选择的。

首先咱们进行默认设置，对用户test进行一系列角色赋予动做。

SQL> grant connect, resource to test;

Grant succeeded

SQL> grant sicspccgrole to test;

Grant succeeded

SQL> grant sicspctbcgrole to test;

Grant succeeded

SQL> grant sicspctrrole to test;

Grant succeeded

经过视图db_role_privs，能够查看到角色与授予关系。

SQL> select * from dba_role_privs where GRANTEE='TEST';

GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE

------------------------------ ------------------------------ ------------ ------------

TEST RESOURCE NO YES

TEST SICSPCCGROLE NO YES

TEST SICSPCTBTRROLE NO YES

TEST CONNECT NO YES

TEST SICSPCTBCGROLE NO YES

TEST SICSPCTRROLE NO YES

6 rows selected

重点关注default_role列，对应test的几个权限，都被授予为default_role。换而言之，一个用户被赋予角色以后，直接就是默认角色即default role。

三、相关权限变化

若是角色对象底层权限发生变化，已经受权对象有什么影响呢？

SQL> create role testrole ;

Role created

SQL> grant select on sics.cnu_environment to testrole;

Grant succeeded

SQL> grant testrole to test;

Grant succeeded

此时新角色testrole被授予为default role。

SQL> select * from dba_role_privs where GRANTEE='TEST';

GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE

------------------------------ ------------------------------ ------------ ------------

TEST RESOURCE NO YES

TEST SICSPCCGROLE NO YES

TEST SICSPCTBTRROLE NO YES

TEST TESTROLE NO YES

TEST CONNECT NO YES

TEST SICSPCTBCGROLE NO YES

TEST SICSPCTRROLE NO YES

7 rows selected

Testrole底层发生变化。

SQL> grant select on scott.emp to testrole;

Grant succeeded

角色受权关系没有变化。

SQL> select * from dba_role_privs where GRANTEE='TEST';

GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE

------------------------------ ------------------------------ ------------ ------------

TEST RESOURCE NO YES

TEST SICSPCCGROLE NO YES

TEST SICSPCTBTRROLE NO YES

TEST TESTROLE NO YES

TEST CONNECT NO YES

TEST SICSPCTBCGROLE NO YES

TEST SICSPCTRROLE NO YES

7 rows selected

一些相关实验也证实，对于角色层面权限组的变化，不会影响到用户与角色的关系。

四、Default Role设置副效应

Default Role是能够单独设置的，可是必定要注意，一旦使用Default Role显式设置，会有一些副效应出现。

SQL> alter user test default role connect;

User altered

使用default role方法设置用户test为connect，以后观察视图。

SQL> select * from dba_role_privs where GRANTEE='TEST';

GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE

---------- ------------------------------ ------------ ------------

TEST RESOURCE NO NO

TEST SICSPCCGROLE NO NO

TEST SICSPCTBTRROLE NO NO

TEST TESTROLE NO NO

TEST CONNECT NO YES

TEST SICSPCTBCGROLE NO NO

TEST SICSPCTRROLE NO NO

7 rows selected

注意，除了设置默认角色的connect以后，其余test用户角色都成为非默认角色。也就是说：一旦进行显式设置，其余角色自动设置为非默认角色。

五、Default Role效果

设置以后，咱们登陆test进行效果观察。

SQL> conn test/test@sicsdb_linux

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as test

SQL> select * from user_role_privs;

USERNAME GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE OS_GRANTED

------------------------------ ------------------------------ ------------ ------------ ------------

TEST CONNECT NO YES NO

TEST RESOURCE NO NO NO

TEST SICSPCCGROLE NO NO NO

TEST SICSPCTBCGROLE NO NO NO

TEST SICSPCTBTRROLE NO NO NO

TEST SICSPCTRROLE NO NO NO

TEST TESTROLE NO NO NO

7 rows selected

在session层面，权限以下：

SQL> select * from session_roles;

ROLE

------------------------------

CONNECT

登陆以后，只有default role才能进行赋予，其余角色权限不能自动添加。

--典型resource权限

SQL> create table t (id number(10));

create table t (id number(10))

ORA-01031: 权限不足

显示设置角色权限：

SQL> set role resource;

Role set

SQL> create table t (id number(10));

Table created

SQL> select * from session_roles;

ROLE

------------------------------

RESOURCE

设置其余角色以后，原有权限不能使用。

SQL> select * from session_roles;

ROLE

------------------------------

TESTROLE

SQL> create table m (id number(10));

create table m (id number(10))

ORA-01031: 权限不足

使用set role all，能够将全部角色权限一并赋予。

SQL> set role all;

Role set

SQL> select * from session_roles;

ROLE

------------------------------

CONNECT

RESOURCE

SICSPCCGROLE

SICSPCTRROLE

SICSPCTBCGROLE

SICSPCTBTRROLE

TESTROLE

7 rows selected

从新登陆以后，依然是default role才能自动赋予。

SQL> conn test/test@sicsdb_linux

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as test

SQL> select * from session_roles;

ROLE

------------------------------

CONNECT

另外，使用set role all except xxx，能够将指定的role剔除。

SQL> set role all except resource;

Role set

SQL> select * from session_roles;

ROLE

------------------------------

CONNECT

SICSPCCGROLE

SICSPCTRROLE

SICSPCTBCGROLE

SICSPCTBTRROLE

TESTROLE

6 rows selected

六、结论

Oracle角色role权限是一种很是经常使用的受权机制，default role特性是咱们常常忽视的一个问题知识点。

LHR@orclasm > alter user test default role all; User altered.SYS@orclasm > select * from dba_role_privs where GRANTEE='TEST';GRANTEE GRANTED_ROLE ADM DEF------------------------------ ------------------------------ --- ---TEST RESOURCE NO YESTEST TESTROLE NO YESTEST CONNECT NO YES