oracle管理角色和权限

在oracle9i前，授予对象权限是由对象的所有者来完成的，如果用其它的用户来操作，则需要用户具有相应的(with grant option)权限，从oracle9i开始，sys,system可以将任何对象上的对象权限授予其它用户，授予对象权限是用grant命令来完成的。

授权基本语法：

grant 对象权限 on 数据库对象 to 用户名 [with grant option] [,角色名]

特别说明：可以把权限直接赋给用户或角色。[with grant option]选项只能授予用户，不能授予角色。

?

我们看几个案例：

1、monkey用户要操作scott.emp表，则必需授予相应的对象权限。

(1)、希望monkey可以查询scott.emp的表数据，怎样操作？

SQL>grant select on scott.emp to monkey;

?

(2)、希望monkey可以修改scott.emp的表数据，怎样操作？

SQL>grant update on scott.emp to monkey;

?

(3)、希望monkey可以删除scott.emp的表数据，怎样操作？

SQL>grant delete on scott.emp to monkey;

?

(4)、有没有更加简单的方法，一次把所有权限赋给monkey？

SQL>grant all on scott.emp to monkey;

?

2、授权alter权限

如果black用户修改scott.emp表的结构，则必需授予alter对象权限

SQL>grant alter on scott.emp to black;

?

3、授予execute权限

如果用户想要执行其它方案的包/过程/函数，则需有execute权限。比如为了让ken可以执行包dbms_transaction，可以授予execute权限。

SQL>grant execute on dbms_transaction to ken;

?

4、授予index权限

如果想在别的方案的表上建立索引，则必需具有index对象权限，如为了让black可以在scott.emp上建立索引，就给其index的对象权限

SQL>grant index on scott.emp to blake;

?

5、使用with grant option选项

该选项用于转授对象权限，但是该选项只能被授予用户，而不能授予角色。

例：由blake给jones授予select权限

先由dba给blake授予select权限

SQL>conn system/orcl;

SQL>grant select on scott.emp to blake with grant option;

SQL>conn blake/orcl;

SQL>grant select on scott.emp to jones;

?

回收对象权限

在oracle9i中，收回对象的权限可以由对象的所有者来完成，也可以用dba用户(sys,system)来完成。

这里要说明的是：收回对象权限后，用户就不能执行相应的sql命令，但是要注意的是对象的权限是否会被级联收回？(级联回收)

请看案例：

scott========>>blake========>>jones

select on emp? select on emp? select on emp

?

对象权限回收基本语法：

revoke 对象权限 on 数据库对象 from 用户名[,角色名];

特别说明：对象的权限回收是级联回收。

?

1、切换system用户

SQL>conn system/orcl;

?

2、建立blake和jones用户

SQL>create user blake identified by blake;

SQL>create user jones identified by jones;

?

3、给blake和jones用户赋系统权限(登录权限)

SQL>grant create session to blake with admin option;

SQL>grant create session to jones;

?

4、切换scott用户给blake赋对象权限(查看权限)

SQL>conn scott/tiger;

SQL>grant select on emp to blake with grant option;

?

5、切换blake用户给jones赋对象权限(查看权限)

SQL>conn blake/blake;

SQL>grant select on scott.emp to jones;

?

6、切换scott用户回收blake对象权限

SQL>conn scott/tiger;

SQL>revoke select on emp from blake;

?

7、切换blake用户测试查看对象权限是否还能用。

SQL>conn blake/blake;

SQL>select * from scott.emp;//报错，blake无查询权限。

?

8、切换jones用户测试查看对象权限是否还能用。

SQL>conn jones/jones;

SQL>select * from scott.emp;//报错，jones无查询权限。

?

管理权限和角色--角色

介绍

角色就是相关权限的命令集合，使用角色的主要目的就是为了简化权限的管理。

请看一个问题：假定有用户1，2，3为了让他们都拥有权限。

1、连接数据库

2、在scott.emp表上select,insert,update

如果采用直接授权操作，则需要进行12次授权。

?

角色分为预定义角色和自定义角色。

预定义角色

预定义角色是指oracle所提供的角色，每种角色都用于执行一些特定的管理任务，下面我们介绍常用的预定义角色connect,resource,dba

特别说明：角色可以包含系统权限，也可以包含对象权限。

要查看角色有怎样的权限可以通过下列语句查看：

select * from dba_sys_privs where grantee=‘DBA‘;

注意：查询时角色的名称要大写(DBA、CONNECT、RESOURCE)，小写无法查询

?

使用system登录可以查询所有预定义角色：

select * from dba_roles;

?

如何知道某个用户具有什么样的角色：

select * from dba_role_privs where grantee=‘用户名‘;

?

通过角色给用户赋权限基本语法：

grant 角色名[,角色名2,...] to 用户名;

?

1、connect角色

connect角色具有一般应用开发人员需要的大部分权限，只要给用户授予connect和resource角色就够了，connect角色具有哪些系统权限呢？

connect角色具有：

create session 创建连接权限

2、resource角色

resource角色具有应用开发人员所需要的其它权限，比如建立存储过程、触发器等。这里需要注意的是resource角色隐含了unlimited tablespace系统权限。

resource角色具有：

create trigger? 创建触发器

create sequence 创建序列

create type ??? 创建类型权限

create procedure创建过程

create cluster? 创建集群

create operator 创建运营商

create indextype创建索引类型

create table??? 创建表

?

3、dba角色

dba角色具有所有的系统权限，及with admin option选项，默认的dba用户为sys和system他们可以将任何系统权限授予其它用户，但是要注意的是dba角色不具备sysdba和sysoper的特权(启动和关闭数据库)

?

案例：

创建一个用户，然后赋给connect角色和resource角色

SQL>create user tempuser identified by tempuser;

SQL>grant connect,resource to tempuser;

?

创建一个用户jack并将其设为具有dba角色的用户

SQL>create user jack identified by jack;

SQL>grant dba to jack;

?

自定义角色

顾名思义就是自己定义的角色，根据自己的需要来定义，一般是dba来建立，如果使用别的用户来建立，则需要具有create role的系统权限。在建立角色时可以指定验证方式(不验证，数据库验证等)

1、建立角色(不验证)

如果角色是公用的角色，可以采用不验证的方式建立角色。

建立角色不验证基本语法：

create role 角色名 not identified;

?

2、建立角色(数据库验证)

采用这样的方式时，角色名、口令存放在数据库中。当激活该角色时，必需提供口令。在建立这种角色时，需要为其提供口令。

建立角色需数据库验证基本语法：

create role 角色名 identified by 口令;

?

角色授权

当建立角色时，角色没有任何权限，为了使得角色完成特定任务，必需为其授予相应的系统权限和对象权限。

(一)给角色授权

给角色授予权限和给用户授权没有太多区别，但是要注意，系统权限的unlimited tablespace和对象权限的with grant option选项是不能授予角色的。

?

给角色授权基本语法：

grant 对象权限 on 数据库对象 to 自定义角色名;

?

案例：

完成将create session,select on scott.emp,insert on scott.emp,update on scott.emp授予角色，然后将该角色授予a,b,c用户。

1、使用system用户创建自定义角色

SQL>conn system/orcl;

SQL>create role crud_scott not identified;

2、给自定义角色crud_scott授权

SQL>grant create session to crud_scott;

SQL>grant select on scott.emp to crud_scott;

SQL>grant insert on scott.emp to crud_scott;

SQL>grant update on scott.emp to crud_scott;

3、通过将授权过的角色crud_scott给用户进行授权

SQL>grant crud_scott to a;

SQL>grant crud_scott to b;

SQL>grant crud_scott to c;

?

(二)分配角色给某个用户

一般分配角色是由DBA来完成的，如果要以其它用户身份分配角色，则要求用户必需具有grant any role的系统权限。

通过角色名授权用户基本语法：

grant 角色名 to 用户名 [with admin option];

如果给用户赋权限时带了with admin option选项，被授权的用户可以继续将此权限授予其它用户。

?

删除角色

使用drop role，一般是dba来执行，如用其它用户则要求该用户具有drop any role系统权限

删除角色基本语法：

drop role 角色名;

?

显示角色信息

1、显示所有角色

select * from dba_roles;

?

2、显示角色具有的系统权限

select privilege,admin_option from role_sys_privs where role=‘角色名‘;

?

3、显示角色具有的对象权限

通过查询数据字典视图dba_tab_privs可以查看角色具有的对象权限或是列的权限。

select * from dba_tab_privs where grantee=‘角色名‘;

?

4、显示用户具有的角色，及默认角色

当以用户的身份连接到数据库时，oracle会自动的激活默认的角色，通过查询数据库字典视图dba_role_privs可以显示某个用户具有的所有角色及当前默认的角色

select granted_role,default_role from dba_role_privs where grantee=‘角色名‘;

?

精细访问控制(只做了解，不详细介绍)

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!