oracle管理权限和角色

介绍

这一部分主要看看oracle中如何管理权限和角色，权限和角色的区别在哪里。

当刚刚创建用户时，用户没有任何权限，也不能执行任何操做。若是要执行某种特定的数据库操做，则必需为其授予系统的权限；若是用户要访问其它方案的对象，则必需为其授予对象的权限，为了简化权限的管理，可使用角色。

 

权限：

权限是指执行特定类型sql命令或是访问其它方案对象的权利，包括系统权限和对角权限两种。

 

系统权限介绍

系统权限是指执行特定类型sql命令的权利，它用于控制用户能够执行的一个或是一组数据库操做。好比当用户具备create table权限时，能够在其方案中建表，当用户具备create any table权限时，能够在任何方案中建表。oracle提供了160多中系统权限。经常使用的有：

create session 链接数据库;

create view 建视图;

create procedure 建过程、函数、包;

create cluster 建簇;

create table 建表;

create public synonym 建同义词;

create trigger 建触发器;

 

显示系统权限

oracle提供了166系统权限，并且oracle的版本越高，提供的系统权限就越多，咱们能够查询数据字典视图system_privilege_map,能够显示全部系统权限。

基本语法：

select * from system_privilege_map order by name;

oracle11GR2中提供了208个系统权限。

 

授予系统权限

通常状况，授予系统权限是有dba完成的，若是用其它用户来授予系统权限，则要求用户必需具备grant any privilege的系统权限在授予系统权限时，能够带有with admin option选项，这样，被授予权限的用户或是角色还能够将该系统权限授予其它的用户或是角色。为了让你们快速入门，咱们举例说明：

一、建立两个用户ken,tom初始阶段他们没有任何权限，若是登录就会出错误的信息。

1.一、建立两个用户，并指定密码。

SQL>create user ken identified by ken;

SQL>create user tom identified by tom;

 

二、给用户ken受权

2.一、授予create session和create table权限时带with admin option

受权基本语法：

grant 权限名称 to 用户名;

SQL>grant create session to ken with admin option;

SQL>grant create table to ken with admin option;

 

2.二、授予create view时不带with admin option

SQL>grant create view to ken;

 

三、给用户tom受权

咱们能够经过ken给tom受权，由于with admin option是加上的。固然也能够经过dba给tom受权，咱们就用ken给tom受权：

SQL>grant create session to tom with admin option;

SQL>grant create table to tom with admin option;

SQL>grant create view to tom;//报错，因为ken被dba受权时没有带with admin option参数，因此ken没有权限对tom进行create view的受权。

 

回收系统权限

通常状况下，回收系统权限是dba来完成的，若是其它的用户来回收系统权限，要求该用户必需具备相应系统权限及转授系统权限的选项(with admin option)。回收系统权限使用revoke来完成，当回收了系统权限后，用户就不能执行相应的操做了，可是请注意，系统权限级联收回问题？(不会级联回收权限)

system==>>ken==>>tom

(create session)(create session)(create session)

用system执行以下操做：

revoke create session from ken;请思考tom还能登陆吗？能够登陆。

 

回收系统权限基本语法：

revoke 系统权限名 from 用户名;

特别说明：系统权限的回收不是级联回收。

 

对象权限介绍

访问其它方案对象的权利，用户能够直接访问本身方案的对象，可是若是要访问别的方案的对象，则必需具备对象的权限，好比smith用户要访问scott.emp表(scott:方案，emp：表)

则必需在scott.emp表上具备对象的权限。经常使用的权限有：

alter 修改、delete 删除、select 查询、insert 添加、update 修改、index 索引、references 引用、execute执行。

查看oracle提供的全部的对象权限(仅dba用户能够查看)

select distinct privilege from dba_tab_privs;

 

重要查询文档

查看当前用户的表(本身的表)

select table_name from user_tables;

 

查询oracle中全部的系统权限，通常是dba

select * from system_privilege_map order by name;

 

查询oracle中全部的角色，通常是dba

select * from dba_roles;

 

查询oracle中全部对象权限，通常是dba

select distinct privilege from dba_tab_privs;

 

查询数据库的表空间

select tablespace_name from dba_tablespaces;

 

查询当前用户具备什么样的系统权限

select * from user_sys_privs;

 

查询当前用户在别人的表上，具备什么样的对象权限

select * from user_tab_privs; (查看对表的权限)

select * from user_col_privs; (查看对表的列的权限)

 

查询某个用户具备怎样的角色

select * from dba_role_privs where grantee='用户名';

 

查看某个角色包括哪些系统权限。

select * from dba_sys_privs where grantee='DBA';

或者是：

select * from role_sys_privs where role='DBA';

 

查看某个角色包括的对象权限

select * from dba_tab_privs where grantee='角色名';

 

当某个角色具备什么样的系统权限或对象权限，也可经过pl/sql developer工具直接查看便可。

 

显示执行的错误信息

在执行完语句后，就执行下面的语句

show error;

 

显示oracle某个操做用时

set timing on;

 

受权对象权限

在oracle9i前，授予对象权限是由对象的全部者来完成的，若是用其它的用户来操做，则须要用户具备相应的(with grant option)权限，从oracle9i开始，sys,system能够将任何对象上的对象权限授予其它用户，授予对象权限是用grant命令来完成的。

受权基本语法：

grant 对象权限 on 数据库对象 to 用户名 [with grant option] [,角色名]

特别说明：能够把权限直接赋给用户或角色。[with grant option]选项只能授予用户，不能授予角色。

 

咱们看几个案例：

一、monkey用户要操做scott.emp表，则必需授予相应的对象权限。

(1)、但愿monkey能够查询scott.emp的表数据，怎样操做？

SQL>grant select on scott.emp to monkey;

 

(2)、但愿monkey能够修改scott.emp的表数据，怎样操做？

SQL>grant update on scott.emp to monkey;

 

(3)、但愿monkey能够删除scott.emp的表数据，怎样操做？

SQL>grant delete on scott.emp to monkey;

 

(4)、有没有更加简单的方法，一次把全部权限赋给monkey？

SQL>grant all on scott.emp to monkey;

 

二、受权alter权限

若是black用户修改scott.emp表的结构，则必需授予alter对象权限

SQL>grant alter on scott.emp to black;

 

三、授予execute权限

若是用户想要执行其它方案的包/过程/函数，则需有execute权限。好比为了让ken能够执行包dbms_transaction，能够授予execute权限。

SQL>grant execute on dbms_transaction to ken;

 

四、授予index权限

若是想在别的方案的表上创建索引，则必需具备index对象权限，如为了让black能够在scott.emp上创建索引，就给其index的对象权限

SQL>grant index on scott.emp to blake;

 

五、使用with grant option选项

该选项用于转授对象权限，可是该选项只能被授予用户，而不能授予角色。

例：由blake给jones授予select权限

先由dba给blake授予select权限

SQL>conn system/orcl;

SQL>grant select on scott.emp to blake with grant option;

SQL>conn blake/orcl;

SQL>grant select on scott.emp to jones;

 

回收对象权限

在oracle9i中，收回对象的权限能够由对象的全部者来完成，也能够用dba用户(sys,system)来完成。

这里要说明的是：收回对象权限后，用户就不能执行相应的sql命令，可是要注意的是对象的权限是否会被级联收回？(级联回收)

请看案例：

scott========>>blake========>>jones

select on emp  select on emp  select on emp

 

对象权限回收基本语法：

revoke 对象权限 on 数据库对象 from 用户名[,角色名];

特别说明：对象的权限回收是级联回收。

 

一、切换system用户

SQL>conn system/orcl;

 

二、创建blake和jones用户

SQL>create user blake identified by blake;

SQL>create user jones identified by jones;

 

三、给blake和jones用户赋系统权限(登陆权限)

SQL>grant create session to blake with admin option;

SQL>grant create session to jones;

 

四、切换scott用户给blake赋对象权限(查看权限)

SQL>conn scott/tiger;

SQL>grant select on emp to blake with grant option;

 

五、切换blake用户给jones赋对象权限(查看权限)

SQL>conn blake/blake;

SQL>grant select on scott.emp to jones;

 

六、切换scott用户回收blake对象权限

SQL>conn scott/tiger;

SQL>revoke select on emp from blake;

 

七、切换blake用户测试查看对象权限是否还能用。

SQL>conn blake/blake;

SQL>select * from scott.emp;//报错，blake无查询权限。

 

八、切换jones用户测试查看对象权限是否还能用。

SQL>conn jones/jones;

SQL>select * from scott.emp;//报错，jones无查询权限。

 

管理权限和角色--角色

介绍

角色就是相关权限的命令集合，使用角色的主要目的就是为了简化权限的管理。

请看一个问题：假定有用户1，2，3为了让他们都拥有权限。

一、链接数据库

二、在scott.emp表上select,insert,update

若是采用直接受权操做，则须要进行12次受权。

 

角色分为预约义角色和自定义角色。

预约义角色

预约义角色是指oracle所提供的角色，每种角色都用于执行一些特定的管理任务，下面咱们介绍经常使用的预约义角色connect,resource,dba

特别说明：角色能够包含系统权限，也能够包含对象权限。

要查看角色有怎样的权限能够经过下列语句查看：

select * from dba_sys_privs where grantee='DBA';

注意：查询时角色的名称要大写(DBA、CONNECT、RESOURCE)，小写没法查询

 

使用system登陆能够查询全部预约义角色：

select * from dba_roles;

 

如何知道某个用户具备什么样的角色：

select * from dba_role_privs where grantee='用户名';

 

经过角色给用户赋权限基本语法：

grant 角色名[,角色名2,...] to 用户名;

 

一、connect角色

connect角色具备通常应用开发人员须要的大部分权限，只要给用户授予connect和resource角色就够了，connect角色具备哪些系统权限呢？

connect角色具备：

create session 建立链接权限

二、resource角色

resource角色具备应用开发人员所须要的其它权限，好比创建存储过程、触发器等。这里须要注意的是resource角色隐含了unlimited tablespace系统权限。

resource角色具备：

create trigger  建立触发器

create sequence 建立序列

create type     建立类型权限

create procedure建立过程

create cluster  建立集群

create operator 建立运营商

create indextype建立索引类型

create table    建立表

 

三、dba角色

dba角色具备全部的系统权限，及with admin option选项，默认的dba用户为sys和system他们能够将任何系统权限授予其它用户，可是要注意的是dba角色不具有sysdba和sysoper的特权(启动和关闭数据库)

 

案例：

建立一个用户，而后赋给connect角色和resource角色

SQL>create user tempuser identified by tempuser;

SQL>grant connect,resource to tempuser;

 

建立一个用户jack并将其设为具备dba角色的用户

SQL>create user jack identified by jack;

SQL>grant dba to jack;

 

自定义角色

顾名思义就是本身定义的角色，根据本身的须要来定义，通常是dba来创建，若是使用别的用户来创建，则须要具备create role的系统权限。在创建角色时能够指定验证方式(不验证，数据库验证等)

一、创建角色(不验证)

若是角色是公用的角色，能够采用不验证的方式创建角色。

创建角色不验证基本语法：

create role 角色名 not identified;

 

二、创建角色(数据库验证)

采用这样的方式时，角色名、口令存放在数据库中。当激活该角色时，必需提供口令。在创建这种角色时，须要为其提供口令。

创建角色需数据库验证基本语法：

create role 角色名 identified by 口令;

 

角色受权

当创建角色时，角色没有任何权限，为了使得角色完成特定任务，必需为其授予相应的系统权限和对象权限。

(一)给角色受权

给角色授予权限和给用户受权没有太多区别，可是要注意，系统权限的unlimited tablespace和对象权限的with grant option选项是不能授予角色的。

 

给角色受权基本语法：

grant 对象权限 on 数据库对象 to 自定义角色名;

 

案例：

完成将create session,select on scott.emp,insert on scott.emp,update on scott.emp授予角色，而后将该角色授予a,b,c用户。

一、使用system用户建立自定义角色

SQL>conn system/orcl;

SQL>create role crud_scott not identified;

二、给自定义角色crud_scott受权

SQL>grant create session to crud_scott;

SQL>grant select on scott.emp to crud_scott;

SQL>grant insert on scott.emp to crud_scott;

SQL>grant update on scott.emp to crud_scott;

三、经过将受权过的角色crud_scott给用户进行受权

SQL>grant crud_scott to a;

SQL>grant crud_scott to b;

SQL>grant crud_scott to c;

 

(二)分配角色给某个用户

通常分配角色是由DBA来完成的，若是要以其它用户身份分配角色，则要求用户必需具备grant any role的系统权限。

经过角色名受权用户基本语法：

grant 角色名 to 用户名 [with admin option];

若是给用户赋权限时带了with admin option选项，被受权的用户能够继续将此权限授予其它用户。

 

删除角色

使用drop role，通常是dba来执行，如用其它用户则要求该用户具备drop any role系统权限

删除角色基本语法：

drop role 角色名;

 

显示角色信息

一、显示全部角色

select * from dba_roles;

 

二、显示角色具备的系统权限

select privilege,admin_option from role_sys_privs where role='角色名';

 

三、显示角色具备的对象权限

经过查询数据字典视图dba_tab_privs能够查看角色具备的对象权限或是列的权限。

select * from dba_tab_privs where grantee='角色名';

 

四、显示用户具备的角色，及默认角色

当以用户的身份链接到数据库时，oracle会自动的激活默认的角色，经过查询数据库字典视图dba_role_privs能够显示某个用户具备的全部角色及当前默认的角色

select granted_role,default_role from dba_role_privs where grantee='角色名';

 

精细访问控制(只作了解，不详细介绍)

是指用户可使用函数、策略实现更加细微的案例访问控制。若是使用精细访问控制，则当在客户端发出sql语句(select,insert,update,delete)时，oracle会自动在sql语句后追加谓语(where子句)，并执行新的sql语句。经过这样的控制，可使得不一样的数据库用户在访问相同的表时，返回不一样的数据信息。使用函数或策略是为了更好的保护数据安全性，为不一样权限的用户提供不一样的安全级别，可有效的保障信息安全。