Oracle掌管权限和角色

转自：https://blog.csdn.net/without_bont/article/details/79862112

掌管权限和角色

这一部分我们主要看oracle中如何管理权限和角色，权限和角色的区别在哪里。

当刚刚建立用户时，用户没有任何权限，也不能执行任何操作。如果要执行某种特定的数据库操作，则必须为其授予系统的权限；如果用户要访问其他方案的对象，则必须为其授予对象的权限。为了简化权限的管理，可以使用角色。

权限

权限是指执行特定类型的sql命令或是访问其他方案对象的权利，包括系统权限和对象权限两种：

系统权限介绍：

系统权限是指执行特定类型sql命令的权利。它用于控制用户可以执行的一个或是一组数据库操作。比如当用户具有create table权限时，可以在其方案中建表，当用户具有create any table权限时，可以在任何方案中建表。oracle提供了100多种系统权限。

常用的有;

create session   连接数据库            create table   建表

create view        建视图                   create public synonym   建同义词

create procedure   建过程、函数、包   create trigger   建触发器

create cluster   建簇

显示系统权限

oracle提供了100多种系统权限，而且oracle的版本越高，提供的系统权限就越多，我们可以查询数据字典视图system_privilege_map，可以显示所有系统权限。

select * from system_privilege_map order by name;

授权系统权限

一般情况，授予系统权限是由dba完成的，如果用其它用户来授予系统权限，则要求该用户必须具有grant any privilege的系统权限在授予系统权限时，可以带有with admin option选项，这样，被授予权限的用户或是角色还可以将该系统权限授予其它的用户或是角色。为了让大家快速理解，我们举例说明：

1.创建两个用户ken,tom。初始阶段他们没有任何权限，如果登录就会给出错误的信息。

create user ken identified by m123;

2.给用户ken授权

①grant create session,create table to ken with admin option;

②grant create view to ken;

3.给用户tom授权

我们可以通过ken给tom授权，因为with admin option是加上的。当然也可以通过dba为tom授权，我们就用ken给tom授权：

①grant create session,create table to tom;

②grant create view to tom;  →ok吗？【不ok】

回收系统权限

一般情况下，回收系统权限时dba来完成的，如果其他的用户来回收系统权限，要求该用户必须具有相应系统权限及转授系统权限的选项(with admin option)。回收系统权限使用revoke来完成。

当回收了系统权限后，用户就不能执行相应的操作了，但是请注意，系统权限级联回收问题？【不是级联回收】

system→ken→tom

用system执行如下操作：

revoke create session from ken;请思考tom还能登录吗？--- 可以登录

对象权限介绍

指访问其他方案对象的权利，用户可以直接访问自己的方案的对象，但是如果要访问别的方案的对象，则必须具有其对象的权限。

比如smith用户要访问scott.emp表（scott：方案，emp：表）

则必须在scott.emp表上具有对象的权限。

常用的有：

alter 修改       delete 删除   select 查询           insert 添加

update 修改   index 索引    references 引用   rxecute 执行

显示对象权限

通过数据字典视图可以显示用户或是角色所具有的对象权限。视图为dba_tab_privs

SQL>conn system/manager;

SQL>select distinct privilege from dba_tab_privs;

SQL>select grantor,owner,table_name,privilege from dba_tab_privs where grantee='BLAKE';

授予对象权限

在oracle9i前，授予对象权限是由对象的所有者来完成的，如果用其它的用户来操作，则需要用户具有相应的(with grant option)权限，从oracle9i开始，dba用户(sys,system)可以将任何对象上的权限授予其它用户。授予对象权限使用grant命令来完成的。

对象权限可以授予用户，角色，和public。在授予权限时，如果带有with grant option选项，则可以将该权限转授给其它用户。但是要注意with admin option选项不能被授予角色。

1.monkey用户要操作scott.emp表，则必须授予相应的对象权限

①希望monkey可以查询scott.emp的表数据，怎样操作？

SQL> grant select on emp to monkey;

②希望monkey可以修改scott.emp的表数据，怎样操作？

SQL>grant update on emp to monkey;

③希望monkey可以删除scott.emp的表数据，怎样操作？

SQL>grant delete on emp to monkey;

④有没有更加简单的方法，一次把所有权限赋给monkey？

SQL> grant all on emp to monkey;

2.能否对monkey访问权限更加精细控制（授予列权限）

①希望monkey只可以修改scott.emp的表的sal字段，怎样操作？

SQL>grant update on emp(sal) to monkey;

②希望monkey只可查询scott.emp的表的ename，sal数据，怎样操作？

SQL>grant select on emp(ename,sal) to monkey;

3.授予alter权限

如果black用户要修改scott.emp表的结构，则必须授予alter对象权限

SQL>conn scott/root123;

SQL>grant alter on emp to black;

当然也可以用system，sys来完成这件事

4.授予execute权限

如果用户想要执行其他方案的包过程/函数，则需要有execute权限。

比如为了让ken可以执行包dbms_transaction，可以授予execute权限。

SQL>conn system/manager;

SQL>grant execute on dbms_transaction to ken;

5.授予index权限

如果想在别的方案的表上建立索引，则必须具有index对象权限，如为了让black可以在scott.emp上建立索引，就给其index的对象权限。

SQL>grant index on scott.emp to black;

6.使用with grant option选项

该选项用于转授对象权限，但是该选项只能被授予用户，而不能授予角色

SQL>conn scott/root123;

SQL>grant select on emp to black with grant option;

SQL>conn black/m123;

SQL>grant select on scott.emp to jones;

回收对象权限

在oracle9i中，收回对象的权限可以由对象的所有者来完成，也可以用dba用户(sys,system)来完成

这里要说明的是：收回对象权限后，用户就不能执行相应的sql命令，但是要注意的是对象的权限是否会被级联回收？ 【会级联回收】

如：scott→black→jones(select on emp)

SQL>conn scott/root123;

SQL>revoke select on emp from black;

这时，jones用户不能再查询scott.emp表。

角色

角色就是相关权限的命令集合，使用角色的主要目的就是为了简化权限的管理。假定有用户a，b，c，为了让他们都拥有权限①连接数据库②在scott.emp表上select，insert，update。如果采用直接授权操作，则需要进行12次授权。

我们如果采用角色就可以简化：

首先将create session,select on scott.emp,insert on scott.emp,update on scott.emp授予角色，然后将该角色授予a,b,c用户，这样就可以三次授予搞定。

角色分为预定义和自定义角色两类：

预定义角色

预定义角色时oracle所提供的角色，每种角色都用于执行一些特定的管理任务，下面我们介绍常用的预定义角色connect，resource，dba

（一）connect角色

connect角色有一般应用开发人员需要的大部分权限，当建立了一个用户后，多数情况下，只要给用户授予connect和resource角色就够了，那么connect角色具有哪些系统权限呢？

alter session  修改回话

create cluster  创建簇

create database link  修改数据库连接

create session  连接数据库

create table  创建表

create view  创建视图

create sequence  创建序列

（二）resource角色

resource角色具有应用开发人员所需要的其他权限，比如建立存储过程、触发器等。这里需要注意的是resource角色隐含了unlimited tablespace（无限制表空间）系统权限。

resource角色包含了以下系统权限：

create cluster  创建簇

create indextype  创建索引

create table  创建表

create sequence  创建序列

create type

create procedure  创建过程

create trigger  创建触发器

（三）dba角色

dba角色具有所有的系统权限，及with admin option选项，默认的dba用户为sys和system，他们可以将任何系统权限授予其它用户。但是要注意的是dba角色不具备sysdba和sysoper的特权（启动和关闭数据库）。

自定义角色

顾名思义就是自己定义的角色，根据自己的需要来定义。一般是由dba建立，如果用别的用户来建立，则需要具有create role的系统权限。在建立角色时可以指定验证方式（不验证，数据库验证等）。

（一）建立角色（不验证）

如果角色是公用的角色，可以采用不验证的方式建立角色

create role 角色名 not identified;

（二）建立角色（数据库验证）

采用这样的方式时，角色名、口令存放在数据库中。当激活该角色时，必须提供口令，在建立这种角色时，需要为其提供口令。

create role 角色名 identified by m123;

角色授权

当建立角色时，角色没有任何权限，为了使得角色完成特定任务，必须为其授予相应的系统权限和对象权限。

（一）给角色授权

给角色授予权限和给用户授予权限没有太大区别，但是要注意，系统权限的unlimited tablespace和对象权限的with  grant option选项是不能授予角色的。

SQL>conn system/manager;

SQL>grant create session to 角色名 with admin option;

SQL> conn scott/root123;

SQL>grant select on emp to 角色名;

SQL>grant insert,update on emp to 角色名;

SQL>grant delete on emp to 角色名;

（二）分配角色给某个用户

一般分配角色是由dba来完成的。如果要以其他用户身份分配角色，则要求用户必须具有grant any role的系统权限。

SQL>conn system/manager;

SQL>grant 角色名 to 用户名 with admin option;

因为我给了with admin option选项，所以，用户可以把system分配给它的角色分配给别的用户。

删除角色

使用drop role，一般是dba来执行，如果用其它用户则要求改用户具有drop any role系统权限。

SQL>conn system/manager;

SQL>drop role 角色名;

显示角色信息

①显示所有角色

SQL>select * from dba_roles;

②显示角色具有的系统权限

SQL>select privilege,admin_option from role_sys_privs where role='角色名';

③显示角色具有的对象权限

通过查询数据字典视图dba_tab_privs可以查看角色拥有的对象权限或是列的权限。

④显示用户具有的角色及默认角色

当以用户的身份连接到数据库时，oracle会自动的激活默认的角色，通过查询数据字典视图dba_role_privs可以显示某个用户具有的所有角色以及当前默认的角色

SQL>select granted_role,default_role from dba_role_privs where grantee='用户名';

精细访问控制

是指用户可以使用函数、策略实现更加细微的安全访问控制。如果使用精细访问控制，则当在客户端发出sql语句(select、insert、update、delete)等，oracle会自动在sql语句后追加谓词(where子句)，并执行新的sql语句。通过这样的控制，可以使得不同的数据库用户在访问相同表时，返回不同的数据信息。