管理权限<八>

权限；如果用户要访问其它方案的对象，则必须为其授予对象的权限。为权限

 权限

权限是指执行特定类型 sql 命令或是访问其它方案对象的权利，包括系统权限和对象权限两种。

系统权限

 系统权限介绍

系统权限是指执行特定类型 sql 命令的权利。它用于控制用户可以执行的一个或是一组数据库操作。比如当用户具有 create

table 权限时，可以在其方案中建表，当用户具有 create any table 权限时，可以在任何方案中建表。oracle 提供了 100 多种

系统权限。

常用的有：

create session   连接数据库                 create table           建表

create view           建视图               create public synonym   建同义词

create procedure 建过程、函数、包           create trigger          建触发器

create cluster 建簇

 显示系统权限

oracle 提供了 100 多种系统权限，而且 oracle 的版本越高，提供的系统权限就越多，我们可以查询数据字典视图

system_privilege_map，可以显示所有系统权限。

select * from system_privilege_map order by name;

 授予系统权限

一般情况，授予系统权限是由 dba 完成的，如果用其他用户来授予系统权限，则要求该用户必须具有 grant any privilege

的系统权限。在授予系统权限时，可以带有 with admin option 选项，这样，被授予权限的用户或是角色还可以将该系统权限

授予其它的用户或是角色。为了让大家快速理解，我们举例说明：

1.创建两个用户 ken，tom。初始阶段他们没有任何权限，如果登录就会给出错误的信息。

create user ken identfied by ken;

2 给用户 ken 授权

1). grant create session, create table to ken with admin option;

2). grant create view to ken;

3 给用户 tom 授权

我们可以通过 ken 给 tom 授权，因为 with admin option 是加上的。当然也可以通过 dba 给 tom 授权，我们就用 ken 给 tom 授

权：

1. grant create session, create table to tom;

2. grant create view to ken;   --ok 吗？不 ok

 回收系统权限

一般情况下，回收系统权限是 dba 来完成的，如果其它的用户来回收系统权限，要求该用户必须具有相应系统权限及转授系

统权限的选项（with admin option）。回收系统权限使用 revoke 来完成。

当回收了系统权限后，用户就不能执行相应的操作了，但是请注意，系统权限级联收回的问题?[不是级联回收！]

system --------->ken ---------->tom

(create session)(create session)( create session)

用 system 执行如下操作：

revoke create session from ken;   --请思考 tom 还能登录吗？

答案：能，可以登录

对象权限

 对象权限介绍

指访问其它方案对象的权利，用户可以直接访问自己方案的对象，但是如果要访问别的方案的对象，则必须具有对象的权限。

比如 smith 用户要访问 scott.emp 表（scott：方案，emp：表）

常用的有：

alter 修改 delete 删除   select 查询 insert 添加

update 修改 index 索引   references 引用 execute 执行

 显示对象权限

通过数据字段视图可以显示用户或是角色所具有的对象权限。视图为 dba_tab_privs

SQL> conn system/manager;

SQL> select distinct privilege from dba_tab_privs;

SQL> select grantor, owner, table_name, privilege from dba_tab_privs where grantee = 'BLAKE';

1.授予对象权限

在 oracle9i 前，授予对象权限是由对象的所有者来完成的，如果用其它的用户来操作，则需要用户具有相应的（with grant

option）权限，从 oracle9i 开始，dba 用户（sys，system）可以将任何对象上的对象权限授予其它用户。授予对象权限是用

grant 命令来完成的。

对象权限可以授予用户，角色，和 public。在授予权限时，如果带有 with grant option 选项，则可以将该权限转授给其

它用户。但是要注意 with grant option 选项不能被授予角色。

1.monkey 用户要操作 scott.emp 表，则必须授予相应的对象权限

1). 希望 monkey 可以查询 scott.emp 表的数据，怎样操作？

grant select on emp to monkey;

2). 希望 monkey 可以修改 scott.emp 的表数据，怎样操作？

grant update on emp to monkey;

3). 希望 monkey 可以删除 scott.emp 的表数据，怎样操作？

grant delete on emp to monkey;

4). 有没有更加简单的方法，一次把所有权限赋给 monkey？

grant all on emp to monkey;

2.能否对 monkey 访问权限更加精细控制。（授予列权限）

1). 希望 monkey 只可以修改 scott.emp 的表的 sal 字段，怎样操作？

grant update on emp(sal) to monkey

2).希望 monkey 只可以查询 scott.emp 的表的 ename，sal 数据，怎样操作？

grant select on emp(ename,sal) to monkey

...

3.授予 alter 权限

如果 black 用户要修改 scott.emp 表的结构，则必须授予 alter 对象权限

SQL> conn scott/tiger

SQL> grant alter on emp to blake;

当然也可以用 system，sys 来完成这件事。

4.授予 execute 权限

如果用户想要执行其它方案的包/过程/函数，则须有 execute 权限。

比如为了让 ken 可以执行包 dbms_transaction，可以授予 execute 权限。

SQL> conn system/manager

SQL> grant execute on dbms_transaction to ken;

5.授予 index 权限

如果想在别的方案的表上建立索引，则必须具有 index 对象权限。

如果为了让 black 可以在 scott.emp 表上建立索引，就给其 index 的对象权限

SQL> conn scott/tiger

SQL> grant index on scott.emp to blake;

6.使用 with grant option 选项

该选项用于转授对象权限。但是该选项只能被授予用户，而不能授予角色

SQL> conn scott/tiger;

SQL> grant select on emp to blake with grant option;

SQL> conn black/shunping

SQL> grant select on scott.emp to jones;

 回收对象权限

在 oracle9i 中，收回对象的权限可以由对象的所有者来完成，也可以用 dba 用户（sys，system）来完成。

这里要说明的是：收回对象权限后，用户就不能执行相应的 sql 命令，但是要注意的是对象的权限是否会被级联收回？【级联回收】

如：scott------------->blake-------------->jones

select on emp         select on emp             select on emp

SQL> conn scott/tiger@accp

SQL> revoke select on emp from blake

请大家思考，jones 能否查询 scott.emp 表数据。

答案：查不了了（和系统权限不一样，刚好相反）