oracle 权限

Oracle 权限
权限允许用户访问属于其它用户的对象或执行程序，ORACLE系统提供三种权限：Object 对象级、System 系统级、Role 角色级。这些权限可以授予给用户、特殊用户public或角色，如果授予一个权限给特殊用户"Public"（用户public是oracle预定义的， 每个用户享有这个用户享有的权限）,那么就意味作将该权限授予了该数据库的所有用户。
对管理权限而言，角色是一个工具，权限能够被授予给一个角色，角色也能被授予给另一个角色或用户。用户可以通过角色继承权限，除了管理权限外角色服务没有其它目的。权限可以被授予，也可以用同样的方式撤销。

查看方式：

select * from user_sys_privs;（系统级）
select * from user_tab_privs where grantee='XTBG';（对象级）
select * from dba_role_privs where grantee='XTBG';（角色级）

user_（当前用户），all_（能够访问），dba_（所有的）

常用角色权限：
DBA: 拥有全部特权，是系统最高权限，只有DBA才可以创建数据库结构。
RESOURCE:拥有Resource权限的用户只可以创建实体，不可以创建数据库结构。
CONNECT:拥有Connect权限的用户只可以登录Oracle，不可以创建实体，不可以创建数据库结构。

查询其它所有者表时查询不到，则需 grant select any table to username;

3种标准角色

oracle为了兼容以前的版本，提供了三种标准的角色(role)：connect、resource和dba。

1. connect role(连接角色)

临时用户，特别是那些不需要建表的用户，通常只赋予他们connectrole。connect是使用oracle的简单权限，这种权限只有在对其他用户 的表有访问权时，包括select、insert、update和delete等，才会变得有意义。拥有connect role的用户还能够创建表、视图、序列(sequence)、簇(cluster)、同义词(synonym )、会话(session)和与其他数据库的链(link)。

2. resource role(资源角色)

更可靠和正式的数据库用户可以授予resource role。resource提供给用户另外的权限以创建他们自己的表、序列、过程(procedure)、触发器(trigger)、索引(index)和簇(cluster)。

3. dba role(数据库管理员角色)

dba role拥有所有的系统权限----包括无限制的空间限额和给其他用户授予各种权限的能力。system由dba用户拥有。下面介绍一些dba经常使用的典型权限。

管理数据库的用户主要是sys和system

他们的区别主要是：

1、最重要的区别，存储的数据重要性不同。

sys：所有oracle的数据字典的基表和视图都存放在sys用户 中，这些基表和视图对于oracle的运行是至关重要的，由数据库自己维护，任何用户都不能手动更改。sys用户拥有dba(角色)，sysdba(系统 权限)，sysoper(系统权限)角色或权限，是oracle权限最高的用户。

system：用于存放次一级的内部数据，如oracle的一些特性或工具的管理信息。system用户拥有dba，sysdba系统权限。

2、其次的区别，权限的不同。

sys用户必需以as sysdba或as sysoper形式登录，不能以normal方式登录数据库。

system如果正常登录，它其实就是一个普通的dba用户，但是如果以as sysdba登录，其结果实际上它是作为sys用户登录的。

sysdba和sysoper权限区别

sysdba和sysoper具体的权限可以看下表：

系统权限	sysdba	sysoper
区别	startup(启动数据库)	startup
	shutdown(关闭数据库)	shutdown
	alter database open/mount/backup	alter database open/mount/backup
	改变字符集	none
	create database(创建数据库)	none不能创建数据库
	drop database(删除数据库)	none
	create spfile	create spfile
	alter database archivelog(归档日志)	alter database archivelog
	alter database recover(恢复数据库)	只能完全恢复，不能执行不完全恢复
	拥有restricted session(会话限制)	拥有restricted session权限
	可以让用户作为sys用户连接	可以进行一些基本的操作，但不能查看用户数据
	登录之后用户是sys	登录之后用户是public

dba权限的用户

dba用户是指具有dba角色的数据库用户。特权用户可以执行启动实例，关闭实例等特殊操作，而dba用户只有启动数据库后才能执行各种管理工作。

管理初始化参数

     初始化参数用于设置实例或是数据库的特征，oracle11g提供了300多个初始化参数，并且每个初始化参数都有默认值。

显示初始化参数命令

show parameter

如何修改参数

需要说明的如果你希望修改这些初始化的参数，可以到文件：

盘符:oracle目录admin数据库实例pfileinit.ora文件中去修改。

三、ORACLE权限：

    系统权限: 允许用户执行特定的数据库动作，如创建表、创建索引、连接实例等

    对象权限: 允许用户操纵一些特定的对象，如读取视图，可更新某些列、执行存储过程等

 

    1.系统权限

       超过一百多种有效的权限（SELECT * FROM SYSTEM_PRIVILEGE_MAP查）

       数据库管理员具有高级权限以完成管理任务，例如:

           –创建新用户

           –删除用户

           –删除表

           –备份表

          

a.常用的系统权限：

       CREATE SESSION                     创建会话

       CREATE SEQUENCE                    创建序列

       CREATE SYNONYM                     创建同名对象

       CREATE TABLE                       在用户模式中创建表

       CREATE ANY TABLE                   在任何模式中创建表

       DROP TABLE                         在用户模式中删除表

       DROP ANY TABLE                     在任何模式中删除表

       CREATE PROCEDURE                   创建存储过程

       EXECUTE ANY PROCEDURE              执行任何模式的存储过程

       CREATE USER                        创建用户

       DROP USER                          删除用户

       CREATE VIEW                        创建视图

 

    b.授予用户系统权限

       GRANT privilege [, privilege...] TO user [, user| role, PUBLIC...]

       [WITH ADMIN OPTION];

 

       PUBLIC     所有用户

       WITH ADMIN OPTION 使用户同样具有分配权限的权利，可将此权限授予别人

      

           SQL> GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO scott;

           SQL> GRANT EXECUTE ANY PROCEDURE TO scott WITH ADMIN OPTION;

2.对象权限

       不同的对象具有不同的对象权限

       对象的拥有者拥有所有权限

       对象的拥有者可以向外分配权限

       ORACLE一共有种对象权限

 

       对象权限         表   视图   序列   过程

       修改(alter)         √            √

       删除(delete)        √    √

       执行(execute)                             √

       索引(index)         √

       插入(insert)        √    √

       关联(references)    √    √

       选择(select)        √    √      √

       更新(update)        √    √

 

    a.对象授权

       GRANT object_priv｜ALL [(columns)]

       ON object

       TO {user|role|PUBLIC}

       [WITH GRANT OPTION];

 

       ALL：所有对象权限

       PUBLIC：授给所有的用户

       WITH GRANT OPTION：允许用户再次给其它用户授权

   

    b.授予系统权限与授予对象权限的语法差异：

       授予对象权限时需要指定关键字ON，从而能够确定权限所应用的对象。对于表和视图可以指定特定的列来授权。

 c.查询权限分配情况

    数据字典视图          描述

    ROLE_SYS_PRIVS            角色拥有的系统权限

    ROLE_TAB_PRIVS            角色拥有的对象权限

 

    USER_TAB_PRIVS_MADE      查询授出去的对象权限(通常是属主自己查）

    USER_TAB_PRIVS_RECD      用户拥有的对象权限

 

    USER_COL_PRIVS_MADE      用户分配出去的列的对象权限

    USER_COL_PRIVS_RECD      用户拥有的关于列的对象权限

 

    USER_SYS_PRIVS            用户拥有的系统权限

    USER_TAB_PRIVS            用户拥有的对象权限

    USER_ROLE_PRIVS       用户拥有的角色  

      

    --查询已授予的对象权限(即某个用户对哪些表对哪些用户开放了对象权限)

        SQL> SELECT * FROM user_tab_privs_made; --下面是scott用户开放的对象权限

   

       GRANTEE              TABLE_NAME               GRANTOR                   PRIVILEGE            GRA HIE

       -------------------- ------------------------ ------------------------- -------------------- --- ---

       PUBLIC               DEPT                     SCOTT                     SELECT               NO  NO

       ROBINSON             EMP                      SCOTT                     SELECT               NO  NO  

      

    --查询列上开放的对象权限

       SQL> SELECT * FROM user_col_privs_made;

 

       GRANTEE              TABLE_NAME           COLUMN_NAME          GRANTOR        PRIVILEGE            GRA

       -------------------- -------------------- --------------------- -------------- -------------------- ---

       ROBINSON             EMP                  SAL                   SCOTT          UPDATE               YES

       JOHN                 EMP                  MGR                   ROBINSON       UPDATE               NO

       ROBINSON             EMP                  MGR                   SCOTT          UPDATE               YES

       JOHN                 EMP                  SAL                   ROBINSON       UPDATE               NO

   

    --查询已接受的对象特权(即某个用户被授予了哪些表上的哪些对象特权)

       SQL> SELECT * FROM user_tab_privs_recd;

 

       OWNER                TABLE_NAME           GRANTOR                        PRIVILEGE            GRA HIE

       -------------------- -------------------- ------------------------------ -------------------- --- ---

       SCOTT                EMP                  SCOTT                          SELECT               NO  NO

 

    --查询用户已接受列的对象权限

       SQL> SELECT * FROM user_col_privs_recd;

 

       OWNER                TABLE_NAME         COLUMN_NAME      GRANTOR              PRIVILEGE            GRA

       -------------------- ------------------ ---------------- -------------------- -------------------- ---

       SCOTT                EMP                MGR              SCOTT                UPDATE               YES

       SCOTT                EMP                SAL              SCOTT                UPDATE               YES

      

    d.收回对象权限

       使用REVOKE 语句收回权限

       使用WITH GRANT OPTION 子句所分配的权限同样被收回

 

       REVOKE {privilege [, privilege...]|ALL}

       ON object

       FROM   {user[, user...]|role|PUBLIC}

       [CASCADE CONSTRAINTS];

 

       CASCADE CONSTRAINTS 为处理引用完整性时需要

 

       --收回权限示例     

       SQL> conn scott/tiger;

       Connected.

       SQL> REVOKE SELECT ON emp FROM robinson;

 

       Revoke succeeded.

 

       SQL> REVOKE UPDATE(sal,mgr) ON emp FROM robinson; --注意此处的提示revoke的是整个表，而非列

       REVOKE UPDATE(sal,mgr) ON emp FROM robinson

                   *

       ERROR at line 1:

       ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column

 

 

       SQL> REVOKE UPDATE ON emp FROM robinson;

 

       Revoke succeeded.

 

       --用户robinson的update 权限被revoke,曾级联赋予john的权限也被收回，

       --如下提示表、视图不存在，user_col_privs_recd中无记录

       SQL> CONN john/john;

       Connected.

       SQL> UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT';

       UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT'

                   *

       ERROR at line 1:

       ORA-00942: table or view does not exist

 

       SQL> SELECT * FROM user_col_privs_recd;

 

       no rows selected

 

    注意：如果取消某个用户的对象权限，对于该用户使用with grant option授予其它用户相同权限来说，

       将级联删除这些用户权限

 

    e.其它

       检查DBA权限的用户  

           select * from dba_role_privs where granted_role='DBA'; 

 

       查看用户具有的系统权限：

           SELECT * FROM session_privs;

 

四、总结

    1.使用create user语句创建用户，alter user语句修改用户，其语法大致相同

        drop user username [CASCADE] 会删除用户所拥有的所有对象及数据

    2.系统权限允许用户在数据库中执行特定的操作，如执行DDL语句。

        with admin option 使得该用户具有将自身获得的权限授予其它用户的功能

       但收回系统权限时，不会从其它帐户级联取消曾被授予的相同权限

    3.对象权限允许用户对数据库对象执行特定的操作，如执行DML语句。

        with grant option 使得该用户具有将自身获得的对象权限授予其它用户的功能

       但收回对象权限时，会从其它帐户级联取消曾被授予的相同权限

    4.系统权限与对象权限授予时的语法差异为对象权限使用了ON object_name 子句

    5. PUBLIC 为所有的用户

    6. ALL：对象权限中的所有对象权限