Oracle 用户管理与权限控制
oracle数据库的权限系统分为系统权限与对象权限。系统权限( database system privilege )可以让用户执行特定的命令集。例如,create table权限允许用户创建表,grant any privilege 权限允许用户授予任何系统权限。对象权限( database object privilege )可以让用户能够对各个对象进行某些操作。例如delete权限允许用户删除表或视图的行,select权限允许用户通过select从表、视图、序列(sequences)或快照(snapshots)中查询信息。
每个oracle用户都有一个名字和口令,并拥有一些由其创建的表、视图和其他资源。oracle角色(role)就是一组权限(privilege)(或者是每个用户根据其状态和条件所需的访问类型)。用户可以给角色授予或赋予指定的权限,然后将角色赋给相应的用户。一个用户也可以直接给其他用户授权。
ORACLE中数据字典视图分为3大类,用前缀区别,分别为:USER,ALL 和 DBA,
许多数据字典视图包含相似的信息。
USER_*:有关用户所拥有的对象信息,即用户自己创建的对象信息。
ALL_*:有关用户可以访问的对象的信息,即用户自己创建的对象的信息加上其他用户创建的对象但该用户有权访问的信息。
DBA_*:有关整个数据库中对象的信息。
一、用户管理
1、查询用户
select username from dba_users;
查询所有用户
select * from all_users
查询当前用户信息:
select * from user_users
结果:
系统用户:
sys;//系统管理员,拥有最高权限
system;//本地管理员,次高权限
scott;//普通用户,密码默认为tiger,默认未解锁
2、创建用户
create user username identified by password;
username: 用户名,自定义
password: 密码,自定义
3、删除用户
drop user username;
如果用户已经拥有自己的对象,则需要使用:cascade(级联)。可以强制删除用户的所有对象,然后删除用户。
drop user username cascade;
二、权限管理
1、授权
将权限授权给某个用户。
基本用法:
grant 权限 to 用户
授权dba
grant dba to username
示例:
授权连接和资源
grant connect,resource to demo; //授权连接、资源
授权可创建session,可以在服务器上进行连接
grant create session to demo;
应用测试:
授权创建、查询、更新、删除表的权限:
grant create any table to demo; //创建表 grant drop any table to demo; //删除表 grant alter any table to demo; //修改表
授权执行存储过程:
grant execute any procedure to demo
授权数据权限:
grant insert any table to demo; //增加数据 grant delete any table to demo; //删除数据 grant update any table to demo; //更新数据 grant select any table to demo; //查询数据
授权具体的表权限:
grant select on demo.students on demo; //将查询students的权限授权给demo
grant update on demo.students to demo;
2、撤销权限
revoke
基本用法:
revoke 权限 from 用户
撤销dba权限
revoke dba from demo;
撤销连接取取权限
revoke connect from demo
撤销创建表权限
revoke create any table from demo;
撤销某表的权限
revoke all on demo.students from demo;
3、查询各种权限
查询系统所有权限
select * from system_privilege_map
查询所有对象权限
select * from table_privilege_map
查询角色拥有的权限
select * from role_sys_privs;
select * from role_tab_privs
查询用户系统权限
select * from dba_sys_privs;
select * from all_sys_privs;
select * from user_sys_privs;
查询用户对象权限
select * from dba_tab_privs;
select * from all_tab_privs;
select * from user_tab_privs;
三、角色
Oracle为了兼容以前的版本,提供了三种标准的角色(role):connect、resource和dba。
1. connect role(连接角色)
临时用户,特别是那些不需要建表的用户,通常只赋予他们connectrole。connect是使用oracle的简单权限,这种权限只有在对其他用户的表有访问权时,包括select、insert、update和delete等,才会变得有意义。拥有connect role的用户还能够创建表、视图、序列(sequence)、簇(cluster)、同义词(synonym )、会话(session)和与其他数据库的链(link)。
2. resource role(资源角色)
更可靠和正式的数据库用户可以授予resource role。resource提供给用户另外的权限以创建他们自己的表、序列、过程(procedure)、触发器(trigger)、索引(index)和簇(cluster)。
3. dba role(数据库管理员角色)
dba role拥有所有的系统权限,包括无限制的空间限额和给其他用户授予各种权限的能力。system由dba用户拥有。
1、创建角色
create role backer
2、授权
grant select any table to backer
3、撤销
revoke update any table from backer
4、分配角色,将角色权限授予给用户
grant backer to demo
5、将角色权限授予其他角色
grant backer to backer2
6、删除角色
drop role backer2
示例:
查询所有角色
select * from dba_roles
查询结果
查看当前用户角色
select * from role_sys_privs
查看当前用户管理的角色
select * from user_role_privs
select * from dba_role_privs