ORCLE数据库用户、权限、角色管理

  PS:中括号表示可选项。

ORACLE 用户管理

1.创建用户

CREATE USER username   --用户名

IDENTIFIED BY password --密码

[ACCOUNT LOCK|UNLOCK]  --表示用户是否锁定状态

[PASSWORD EXPIRE]      --表示密码在登录后马上失效

示例：CREATE USER test IDENTIFIED BY test ACCOUNT LOCK PASSWORD EXPIRE; （创建完成后并不能马上登录，需赋予session权限）

2.修改用户

ALTER USER username   --用户名

[IDENTIFIED BY password] --密码

[ACCOUNT LOCK|UNLOCK]  --表示用户是否锁定状态

[PASSWORD EXPIRE]      --表示密码在登录后马上失效

示例： ALTER USER test ACCOUNT UNLOCK;

3.删除用户

DROP USER name [CASCADE] --如果用户拥有数据库对象，就必须使用cascade关键字。

ORACLE 权限管理

1.权限的概念与作用  

  表示：权利的责任范围；系统中设置的安全规则或者安全策略。

2.权限的分类 　

  1)系统权限：能否在数据库上完成某个动作；例如创建会话，创建表、查询任意表；  

  2)对象权限：能否在某个数据库对象上完成某种操作；例如：查询emp表，修改dept表。

3.权限的授予与回收   

  1)系统权限的授予     

     GRANT priv TO user|role      [WITH ADMIN OPTION];--是否可以级联授予。         

      示例：GRANT create session TO test WITH ADMIN OPTION;     

       授予用户创建会话的权限。--才能连接数据库。      此时test可以连接到数据库，同时也可以授权其他用户的会话权限。   

  2)系统权限的回收      

     REVOKE priv FORM user|role;

     示例：REVOKE create session FROM test;      PS：系统权限的授予有级联，回收却没有级联收回。

4.对象权限的授予与回收。   

  1)对象权限的授予：    

   GRANT priv [(col,...)] ON object TO user|role [WITH GRANT OPTION];   

  示例：用system用户创建了表 t(id)。    

   GRANT select,update(t) ON system.t to test2 with grant option;     然后用test2 登录后就可以查询和更新t表。    

   select * from system.t ;     

  2)对象权限的回收：     REVOKE priv[(col,...)] ON object FROM user|role;        

   示例：REVOKE update on system.t FROM tets2;    //回收update权限的时候，收回权限只能收回整个表的update权限。     注意：对象权限的回收是级联的，即如果此时test2已将权限再次分配给test1.那么test1的权限也会被收回。

ORACLE 角色管理

1.角色的概念与作用   

  本质上是权限的集合；用于简化权限的管理。

2.角色的创建于删除  

  1)角色创建： CREAET ROLE role;   

     示例：创建一个“员工”角色；     CREATE ROLE employee;

  2)删除角色： DROP ROLE role;     DROP REOLE  employee;   

3.角色上的权限授予与回收（与用户权限的授予与回收类似）

   1)系统权限的授予：   

    GRANT pirv TO role [WITH ADMIN OPTION];   

   示例：授予角色 创建session的权限。（所有与角色关联的用户都拥有该权限。）   

    GRANT create session TO employee with admin option;

   2）系统权限的回收：  

    REVOKE priv FROM role;  

    示例：回收角色 创建session的权限。（所有与角色关联的用户都失去该权限。）  

    REVOKE create session FROM employee;     

   3)对象权限的授予：  

   GRANT [priv(col...)] ON object TO role;  

   示例：将system的表t3的查询权限授予employee角色。   GRANT select ON system.t3 TO employee;    

  4)对象权限的回收：   REVOKE [priv(col...)] ON object FROM role;   示例：将system表t3的查询权限收回。  

   REVOKE select ON SYSTEM.T3 FROM employee;

4.用户与角色关联（用户上授予角色）  

   GRANT role TO user;  示例：将test1，test2关联角色employee；   

   GRANT employee TO test1,test2;  

  PS：经测试：如果在授予角色之前用户已登录，则需要重新登录后角色对应的权限才能生效。

5.用户与角色取消关联(用户上回收角色)

  REVOKE role FROM user;  示例：将用户test1,test2与角色employee取消关联。  

  PS：经测试：如果在回收角色之前用户已登录，则需要重新登录后角色对应的权限才能收回。