Oracle 级联with admin option 和 with grant option

· 授权通过grant
语法：GRANT
object_priv[(columns)][ON object] TO {user|role|public} [WITH GRANT
OPTION]
· 回收通过revoke
语法：REVOKE object_priv[(columns)][ON object] FROM
{user[,user...]|role|public} [CASCADE CONSTRINTS]
撤销具有ADMIN OPTION 的系统权限（权限回收无级联 适用系统权限和角色）

撤销具有GRANT OPTION 的对象权限（权限回收有级联  适用对象权限）

相同点：

- 两个都可以既可以赋予user 权限时使用，也可以在赋予role 时用
GRANT CREATE SESSION TO emi
WITH ADMIN OPTION;
GRANT CREATE SESSION TO role WITH ADMIN OPTION;
GRANT
role1 to role2 WITH ADMIN OPTION;
GRANT select ON customers1 TO bob WITH
GRANT OPTION;
GRANT select ON customers1 TO hr_manager(role) WITH GRANT
OPTION;

- 两个受赋予者，都可以把权限或者role 再赋予other users
- 两个option 都可以对DBA 和APP
ADMIN 带来方便性，但同时，都带来不安全的因素

不同点：
- with admin option 只能在赋予 system privilege 的时使用
- with grant
option 只能在赋予 object privilege 的时使用
- 撤消带有admin option 的system privileges
时，连带的权限将保留
例如：
1. DBA 给了CREATE 系统权限给JEFF WITH ADMIN OPTION
2. JEFF
CREATES TABLE
3. JEFF grants the CREATE TABLE 系统权限给EMI
4. EMI CREATES A
table
5. DBA 撤消CREATE TABLE 系统权限从JEFF
结果：
JEFF‘S TABLE
依然存在，但不能创建新的TABLE 了
EMI’S TABLE 依然存在，他还保留着CREATE TABLE 系统权限。
- 撤消带有grant
option 的object privileges 时，连带的权限也将撤消
例如：
1. JEFF 给了SELECT object
privileges 在EMP 上 WITH ADMIN OPTION
2. JEFF 给了SELECT 权限在EMP 上 TO EMI
3.
后来，撤消JEFF的SELECT 权限

结果：
EMI 的权限也被撤消了

转载 http://hi.baidu.com/danghj/item/0737fa50f05217a8acc85798