Oracle 用户管理权限
1、建立用户的Profile文件sql
SQL> create profile student limit // student为资源文件名数据库
FAILED_LOGIN_ATTEMPTS 3 //指定锁定用户的登陆失败次数安全
PASSWORD_LOCK_TIME 5 //指定用户被锁定天数服务器
PASSWORD_LIFE_TIME 30 //指定口令可用天数session
2、建立用户oracle
SQL> Create User usernameapp
Identified by password --密码,全是数字双引号,ide
Default Tablespace tablespace--默认表空间,函数
Temporary Tablespace tablespace--零时表空间工具
Profile profile--用户使用数据保存,
Quota integer/unlimited on tablespace;
---
create tablespace test_tablespace
datafile 'd:\oracle\oradata\test\test.dbf'
size 100M
建立表空间的语句
注意表空间的建立必须指定datafile以及文件的大小
例:
SQL> Create user acc01
identified by acc01 // 若是密码是数字,请用双引号括起来
default tablespace account
temporary tablespace temp
profile default
quota 50m on account;--最多50兆
SQL> grant connect, resource to acc01;
[*] 查询用户缺省表空间、临时表空间
SQL> select username, default_tablespace, temporary_tablespace from dba_users;
[*] 查询系统资源文件名:
SQL> select * from dba_profiles;
资源文件相似表,一旦建立就会保存在数据库中。
SQL> select username, profile, default_tablespace, temporary_tablespace from dba_users;
SQL> create profile common limit
failed_login_attempts 5
idle_time 5;
SQL> Alter user acc01 profile common;
3、修改用户:
SQL> Alter User 用户名
Identified 口令
Default Tablespace tablespace
Temporary Tablespace tablespace
Profile profile
Quota integer/unlimited on tablespace;
一、修改口令字:
SQL>Alter user acc01 identified by "12345";
二、修改用户缺省表空间:
SQL> Alter user acc01 default tablespace users;
三、修改用户临时表空间
SQL> Alter user acc01 temporary tablespace temp_data;
四、强制用户修改口令字:
SQL> Alter user acc01 password expire;
五、将用户加锁
SQL> Alter user acc01 account lock; // 加锁
SQL> Alter user acc01 account unlock; // 解锁
4、删除用户
SQL>drop user 用户名; //用户没有建任何实体
SQL> drop user 用户名 CASCADE; // 将用户及其所建实体所有删除
*1. 当前正链接的用户不得删除。
5、监视用户:
一、查询用户会话信息:
SQL> select username, sid, serial#, machine from v$session;
二、删除用户会话信息:
SQL> Alter system kill session 'sid, serial#';
三、查询用户SQL语句:
SQL> select user_name, sql_text from v$open_cursor;
ORACLE用户权限管理整理
select username from dba_users; 查询系统全部用户
select * from dba_users where username = 'XXXX';查询用户相关信息
select * from dba_roles; 查询系统全部角色
DBA_ROLE_PRIVS 查询某个用户具备的角色或者某个角色下的有哪些用户
select * from dba_role_privs where grantee ='SYS';
select * fromdba_role_privs where granted_role ='RESOURCE';
DBA_SYS_PRIVS 查询某个用户具备的系统权限
select grantee,privilege from dba_sys_privs where grantee='XXXX';
ROLE_SYS_PRIVS显示授予角色的系统权限
select* from role_sys_privs where role = 'RESOURCE';查询RESOURCE角色相关的权限
ROLE_TAB_PRIVS显示授予角色的表权限
管理用户、角色和权限的DBA视图:
DBA_USERS 提供用户的信息
DBA_ROLES 显示数据库中全部角色
DBA_COL_PRIVS 显示列级对象受权
DBA_ROLE_PRIVS 显示用户及其角色
DBA_SYS_PRIVS 显示被授予系统权限的用户
DBA_TAB_PRIVS 显示用户及他们在表上的权限
ROLE_ROLE_PRIVS 显示授予角色的角色
ROLE_SYS_PRIVS 显示授予角色的系统权限
ROLE_TAB_PRIVS 显示授予角色的表权限
SESSION_PRIVS 显示容许用户使用的权限
SESSION_ROLES 显示当前容许用户使用的角色
select * from session_privs;查询用户自己拥有的权限
select * from user_role_privs;查询用户自己拥有的角色
select * from dba_sys_privs where grantee='CONNECT'; 查询角色所拥有的权限
select * from role_sys_privs where role='CONNECT';查询角色所拥有的权限
1、权限分类:
系统权限:系统规定用户使用数据库的权限。(系统权限是对用户而言)。
实体权限:某种权限用户对其它用户的表或视图的存取权限。(是针对表或视图而言的)。
2、系统权限管理:
一、系统权限分类:
DBA: 拥有所有特权,是系统最高权限,只有DBA才能够建立数据库结构。
RESOURCE:拥有Resource权限的用户只能够建立实体,不能够建立数据库结构。
CONNECT:拥有Connect权限的用户只能够登陆Oracle,不能够建立实体,不能够建立数据库结构。
对于普通用户:授予connect, resource权限。
对于DBA管理用户:授予connect,resource, dba权限。
二、系统权限受权命令:
[系统权限只能由DBA用户授出:sys, system(最开始只能是这两个用户)]
受权命令:SQL> grant connect, resource, dba to 用户名1 [,用户名2]...;
[普通用户经过受权能够具备与system相同的用户权限,但永远不能达到与sys用户相同的权限,system用户的权限也能够被回收。]
例:
SQL> connect system/manager
SQL> Create user user50 identified by user50;
SQL> grant connect, resource to user50;
查询用户拥有哪里权限:
SQL> select * from dba_role_privs;
SQL> select * from dba_sys_privs;
SQL> select * from role_sys_privs;
删除用户:SQL> drop user 用户名 cascade; //加上cascade则将用户连同其建立的东西所有删除
三、系统权限传递:
增长WITH ADMIN OPTION选项,则获得的权限能够传递。
SQL> grant connect, resorce to qwith admin option; //能够传递所获权限。
四、系统权限回收:系统权限只能由DBA用户回收
命令:SQL> Revoke connect, resource from user50;
说明:
1)若是使用WITH ADMIN OPTION为某个用户授予系统权限,那么对于被这个用户授予相同权限的全部用户来讲,取消该用户的系统权限并不会级联取消这些用户的相同权限。
2)系统权限无级联,即A授予B权限,B授予C权限,若是A收回B的权限,C的权限不受影响;系统权限能够跨用户回收,即A能够直接收回C用户的权限。
3、实体权限管理
一、实体权限分类:select, update, insert, alter, index, delete, all //all包括全部权限
execute //执行存储过程权限
user01:
SQL> grant select, update, insert on product to user02;
SQL> grant all on product to user02;
user02:
SQL> select * from user01.product;
// 此时user02查user_tables,不包括user01.product这个表,但若是查all_tables则能够查到,由于他能够访问。
2. 将表的操做权限授予全体用户:
SQL> grant all on product to public; // public表示是全部的用户,这里的all权限不包括drop。
[实体权限数据字典]:
SQL> select owner, table_name from all_tables; // 用户能够查询的表
SQL> select table_name from user_tables; // 用户建立的表
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 获权能够存取的表(被受权的)
SQL> select grantee, owner, table_name, privilege from user_tab_privs; // 授出权限的表(授出的权限)
3. DBA用户能够操做全体用户的任意基表(无需受权,包括删除):
DBA用户:
SQL> Create table stud02.product(
id number(10),
name varchar2(20));
SQL> drop table stud02.emp;
SQL> create table stud02.employee
as
select * from scott.emp;
4. 实体权限传递(with grant option):
user01:
SQL> grant select, update on product to user02 with grant option; // user02获得权限,并能够传递。
5. 实体权限回收:
user01:
SQL>Revoke select, update on product from user02; //传递的权限将所有丢失。
说明
1)若是取消某个用户的对象权限,那么对于这个用户使用WITH GRANT OPTION授予权限的用户来讲,一样还会取消这些用户的相同权限,也就是说取消受权时级联的。
总结:
--查看用户系统权限
select * from dba_sys_privs;
select * from session_privs;
select * from user_sys_privs;
--查看用户对象权限
select * from dba_tab_privs;
select * from all_tab_privs;
select * from user_tab_privs;
Oracle 角色管理
1、何为角色
角色。角色是一组权限的集合,将角色赋给一个用户,这个用户就拥有了这个角色中的全部权限。
2、系统预约义角色
预约义角色是在数据库安装后,系统自动建立的一些经常使用的角色。下介简单的介绍一下这些预约角色。角色所包含的权限能够用如下语句查询:
sql>select * from role_sys_privs where role='角色名';
1.CONNECT, RESOURCE, DBA
这些预约义角色主要是为了向后兼容。其主要是用于数据库管理。oracle建议用户本身设计数据库管理和安全的权限规划,而不要简单的使用这些预约角色。未来的版本中这些角色可能不会做为预约义角色。
2.DELETE_CATALOG_ROLE, EXECUTE_CATALOG_ROLE, SELECT_CATALOG_ROLE
这些角色主要用于访问数据字典视图和包。
3.EXP_FULL_DATABASE, IMP_FULL_DATABASE
这两个角色用于数据导入导出工具的使用。
4.AQ_USER_ROLE, AQ_ADMINISTRATOR_ROLE
AQ:Advanced Query。这两个角色用于oracle高级查询功能。
5. SNMPAGENT
用于oracle enterprise manager和Intelligent Agent
6.RECOVERY_CATALOG_OWNER
用于建立拥有恢复库的用户。关于恢复库的信息,参考oracle文档《Oracle9i User-Managed Backup and Recovery Guide》
7.HS_ADMIN_ROLE
A DBA using Oracle's heterogeneous services feature needs this role to access appropriate tables in the data dictionary.
3、管理角色
1.建一个角色
sql>create role role1;
2.受权给角色
sql>grant create any table,create procedure to role1;
3.授予角色给用户
sql>grant role1 to user1;
4.查看角色所包含的权限
sql>select * from role_sys_privs;
5.建立带有口令以角色(在生效带有口令的角色时必须提供口令)
sql>create role role1 identified by password1;
6.修改角色:是否须要口令
sql>alter role role1 not identified;
sql>alter role role1 identified by password1;
7.设置当前用户要生效的角色
(注:角色的生效是一个什么概念呢?假设用户a有b1,b2,b3三个角色,那么若是b1未生效,则b1所包含的权限对于a来说是不拥有的,只有角色生效了,角色内的权限才做用于用户,最大可生效角色数由参数MAX_ENABLED_ROLES设定;在用户登陆后,oracle将全部直接赋给用户的权限和用户默认角色中的权限赋给用户。)
sql>set role role1;//使role1生效
sql>set role role,role2;//使role1,role2生效
sql>set role role1 identified by password1;//使用带有口令的role1生效
sql>set role all;//使用该用户的全部角色生效
sql>set role none;//设置全部角色失效
sql>set role all except role1;//除role1外的该用户的全部其它角色生效。
sql>select * from SESSION_ROLES;//查看当前用户的生效的角色。
8.修改指定用户,设置其默认角色
sql>alter user user1 default role role1;
sql>alter user user1 default role all except role1;
详见oracle参考文档
9.删除角色
sql>drop role role1;
角色删除后,原来拥用该角色的用户就再也不拥有该角色了,相应的权限也就没有了。
说明:
1)没法使用WITH GRANT OPTION为角色授予对象权限
2)可使用WITH ADMIN OPTION 为角色授予系统权限,取消时不是级联
数据字典
一、动态数据字典是以v$xxx开始的数据字典,在数据库中约有150个左右,这些数据字典反映数据库动态运行情况,在不一样时间查询会获得不一样的结果。
二、DBA数据字典是以DBA_xxx表示,该数据字典存储数据库结构,查询DBA数据字典能够反映数据库结构设置,管理磁盘空间和表空间、事务与回退段、用户与表空间等信息。
三、用户数据字典是以USER_xxx表示,这些数据字典反应用户所建立的实体信息。如,USER_TABLES、USER_VIEWS,数据库管理员具备操做全体用户全部实体的权限,能够查询这类数据字典,了解用户所建立实体情况,必要时能够将用户建立的不正确的实体删除。
四、ALL_xxx类数据字典,表示用户所建立的实体及用户有权能够存取的实体。
select privilege from dba_SYS_privs where grantee=‘USERNAME’
Oracle查询用户权限
-- 肯定角色的权限
select * from role_tab_privs ; 包含了授予角色的对象权限
select * from role_role_privs ; 包含了授予另外一角色的角色
select * from role_sys_privs ; 包含了授予角色的系统权限
-- 肯定用户账户所授予的权限
select * from DBA_tab_privs ; 直接授予用户账户的对象权限
select * from DBA_role_privs ; 授予用户账户的角色
select * from DBA_sys_privs ; 授予用户账户的系统权限
查看当前用户权限:
SQL> select * from session_privs;
PRIVILEGE
----------------------------------------
CREATE SESSION
CREATE TABLE
CREATE CLUSTER
CREATE SYNONYM
CREATE VIEW
CREATE SEQUENCE
CREATE PROCEDURE
CREATE TRIGGER
8 rows selected.
Oracle 自己的数据字典设计我我的以为很合理, 由于DBA_xxx, ALL_xxx,USER_xxx 让人一看大概就知道这个视图是干什么用的. 本文简要总结了一下与权限,角色相关的视图.
一. 概述
与权限,角色相关的视图大概有下面这些:
DBA_SYS_PRIVS: 查询某个用户所拥有的系统权限
USER_SYS_PRIVS: 当前用户所拥有的系统权限
SESSION_PRIVS: 当前用户所拥有的所有权限
ROLE_SYS_PRIVS: 某个角色所拥有的系统权限
注意: 要以SYS用户登录查询这个视图,不然返回空.
ROLE_ROLE_PRIVS: 当前角色被赋予的角色
SESSION_ROLES: 当前用户被激活的角色
USER_ROLE_PRIVS: 当前用户被授予的角色
另外还有针对表的访问权限的视图:
TABLE_PRIVILEGES
ALL_TAB_PRIVS
ROLE_TAB_PRIVS: 某个角色被赋予的相关表的权限
...
二. Examples
1. 查询当前用户所拥有的权限
Select * from session_privs;
2. 查询某个用户被赋予的系统权限.
能够有多种方式
Select * from user_sys_privs;
或者: select * from DBA_SYS_PRIVS where grantee='XXX'
(须要当前用户拥有DBA角色)
3. 查询当前用户被授予的角色:
1. Select * from SESSION_ROLES order by ROLE
说明: 这个查询会返回当前用户所被授予的所有角色, 其中包括
嵌套受权的角色. 例如将DBA角色授予了一个用户,DBA角色
已经被授予的角色(例如 exp_full_database 和 imp_full_database)
也会被查询出来
2. Select * from USER_ROLE_PRIVS
4. 查询某一角色被赋予的系统权限
Select Privilege from ROLE_SYS_PRIVS where ROLE=&Role
输入 role='CONNECT'
输出:
PRIVILEGE
--------------------
ALTER SESSION
CREATE CLUSTER
CREATE DATABASE LINK
CREATE SEQUENCE
CREATE SESSION
CREATE SYNONYM
CREATE TABLE
CREATE VIEW
5. 查询当前角色被授予的角色
Select GRANTED_ROLE from ROLE_ROLE_PRIVS where ROLE=&ROLE
输入 role= 'DBA'
输出:
GRANTED_ROLE
----------------------
DELETE_CATALOG_ROLE
EXECUTE_CATALOG_ROLE
EXP_FULL_DATABASE
IMP_FULL_DATABASE
PLUSTRACE
SELECT_CATALOG_ROLE
说明: PLUSTRACE这个角色是用于执行SQL AUTO TRACE的, 经过执行
$ORACLE_HOME/sqlplus/admin/plustrce.sql能够生成这个角色.
-------------------------------------------------------------------------------------------------------------------------------------------------------------
如何查看oracle用户权限?
ORACLE数据字典视图的种类分别为:USER,ALL 和 DBA。
USER_*:有关用户所拥有的对象信息,即用户本身建立的对象信息
ALL_*:有关用户能够访问的对象的信息,即用户本身建立的对象的信息加上
其余用户建立的对象但该用户有权访问的信息
DBA_*:有关整个数据库中对象的信息
(这里的*能够为TABLES,INDEXES,OBJECTS,USERS等。)
一、查看全部用户
select * from dba_user;
select * from all_users;
select * from user_users;
二、查看用户系统权限
select * from dba_sys_privs;
select * from all_sys_privs;
select * from user_sys_privs;
三、查看用户对象权限
select * from dba_tab_privs;
select * from all_tab_privs;
select * from user_tab_privs;
四、查看全部角色
select * from dba_roles;
五、查看用户所拥有的角色
select * from dba_role_privs;
select * from user_role_privs;
六、查看当前用户的缺省表空间
select username,default_tablespace from user_users;
七、查看某个角色的具体权限
如grant connect,resource,create session,create view to TEST;
八、查看RESOURCE具备那些权限
用SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE='RESOURCE';
oracle的系统和对象权限列表
alter any cluster 修改任意簇的权限
alter any index 修改任意索引的权限
alter any role 修改任意角色的权限
alter any sequence 修改任意序列的权限
alter any snapshot 修改任意快照的权限
alter any table 修改任意表的权限
alter any trigger 修改任意触发器的权限
alter cluster 修改拥有簇的权限
alter database 修改数据库的权限
alter procedure 修改拥有的存储过程权限
alter profile 修改资源限制简表的权限
alter resource cost 设置佳话资源开销的权限
alter rollback segment 修改回滚段的权限
alter sequence 修改拥有的序列权限
alter session 修改数据库会话的权限
alter sytem 修改数据库服务器设置的权限
alter table 修改拥有的表权限
alter tablespace 修改表空间的权限
alter user 修改用户的权限
analyze 使用analyze命令分析数据库中任意的表、索引和簇
audit any 为任意的数据库对象设置审计选项
audit system 容许系统操做审计
backup any table 备份任意表的权限
become user 切换用户状态的权限
commit any table 提交表的权限
create any cluster 为任意用户建立簇的权限
create any index 为任意用户建立索引的权限
create any procedure 为任意用户建立存储过程的权限
create any sequence 为任意用户建立序列的权限
create any snapshot 为任意用户建立快照的权限
create any synonym 为任意用户建立同义名的权限
create any table 为任意用户建立表的权限
create any trigger 为任意用户建立触发器的权限
create any view 为任意用户建立视图的权限
create cluster 为用户建立簇的权限
create database link 为用户建立的权限
create procedure 为用户建立存储过程的权限
create profile 建立资源限制简表的权限
create public database link 建立公共数据库链路的权限
create public synonym 建立公共同义名的权限
create role 建立角色的权限
create rollback segment 建立回滚段的权限
create session 建立会话的权限
create sequence 为用户建立序列的权限
create snapshot 为用户建立快照的权限
create synonym 为用户建立同义名的权限
create table 为用户建立表的权限
create tablespace 建立表空间的权限
create user 建立用户的权限
create view 为用户建立视图的权限
delete any table 删除任意表行的权限
delete any view 删除任意视图行的权限
delete snapshot 删除快照中行的权限
delete table 为用户删除表行的权限
delete view 为用户删除视图行的权限
drop any cluster 删除任意簇的权限
drop any index 删除任意索引的权限
drop any procedure 删除任意存储过程的权限
drop any role 删除任意角色的权限
drop any sequence 删除任意序列的权限
drop any snapshot 删除任意快照的权限
drop any synonym 删除任意同义名的权限
drop any table 删除任意表的权限
drop any trigger 删除任意触发器的权限
drop any view 删除任意视图的权限
drop profile 删除资源限制简表的权限
drop public cluster 删除公共簇的权限
drop public database link 删除公共数据链路的权限
drop public synonym 删除公共同义名的权限
drop rollback segment 删除回滚段的权限
drop tablespace 删除表空间的权限
drop user 删除用户的权限
execute any procedure 执行任意存储过程的权限
execute function 执行存储函数的权限
execute package 执行存储包的权限
execute procedure 执行用户存储过程的权限
force any transaction 管理未提交的任意事务的输出权限
force transaction 管理未提交的用户事务的输出权限
grant any privilege 授予任意系统特权的权限
grant any role 授予任意角色的权限
index table 给表加索引的权限
insert any table 向任意表中插入行的权限
insert snapshot 向快照中插入行的权限
insert table 向用户表中插入行的权限
insert view 向用户视图中插行的权限
lock any table 给任意表加锁的权限
manager tablespace 管理(备份可用性)表空间的权限
references table 参考表的权限
restricted session 建立有限制的数据库会话的权限
select any sequence 使用任意序列的权限
select any table 使用任意表的权限
select snapshot 使用快照的权限
select sequence 使用用户序列的权限
select table 使用用户表的权限
select view 使用视图的权限
unlimited tablespace 对表空间大小不加限制的权限
update any table 修改任意表中行的权限
update snapshot 修改快照中行的权限
update table 修改用户表中的行的权限
update view 修改视图中行的权限
与权限安全相关的数据字典表有:
ALL_TAB_PRIVS
ALL_TAB_PRIVS_MADE
ALL_TAB_PRIVS_RECD
DBA_SYS_PRIVS
DBA_ROLES
DBA_ROLE_PRIVS
ROLE_ROLE_PRIVS
ROLE_SYS_PRIVS
ROLE_TAB_PRIVS
SESSION_PRIVS
SESSION_ROLES
USER_SYS_PRIVS
USER_TAB_PRIV