oracle: Oracle 用戶、對象權限、系統權限

時間 2019-11-07

標籤 oracle 用戶對象權限系統欄目 Oracle 简体版

原文原文鏈接

Oracle 用戶、對象權限、系統權限數據庫

--================================服務器

--Oracle 用戶、對象權限、系統權限session

--================================函數

1、用戶與模式spa

用戶：對數據庫的訪問，須要以適當用戶身份經過驗證，並具備相關權限來完成一系列動做.net

SYS用戶，缺省始終建立，且未被鎖定，擁有數據字典及其關聯的全部對象對象

SYSTEM用戶，缺省始終建立，且未被鎖定，能夠訪問數據庫內的全部對象blog

模式(schema)：是某個用戶擁有全部對象的集合。具備建立對象權限並建立了對象的用戶稱爲擁有某個模式索引

注意：建立數據庫對象(視圖,表等)的任一用戶都擁有一個以該用戶名稱開頭的模式，且被視爲模式用戶get

2、建立及修改用戶

條件：須要具備建立用戶的權限，如sys,system,sysdba,dba role等

語法：

CREATE USER user

IDENTIFIED {BY password | EXTERNALLY | GLOBALLY AS external name }

[DEFAULT TABLESPACE tablespace_name]

[TEMPORARY TABLESPACE tablespace_name]

[QUOTA {n {[K|M] | UNLIMITED } ON tablespace_name

QUOTA {n {[k|M] | UNLIMITED } ON tablespace_name ... ]

[PASSWORD EXPIRE]

[ACCOUNT { LOCK | UNLOCK }]

[PROFILE { profile_name | DEFAULT }]

eg:

CREATE USER robinson IDENTIFIED BY tiger;

--省略了DEFAULT TABLESPACE和TEMPORARY TABLESPACE 時，則由database_properties中對應的參數肯定

SQL> SELECT property_name,property_value FROM database_properties WHERE property_name LIKE 'DEFAULT%';

PROPERTY_NAME PROPERTY_VALUE

------------------------------ --------------------------------------------------

DEFAULT_TEMP_TABLESPACE TEMP

DEFAULT_PERMANENT_TABLESPACE USERS

DEFAULT_TBS_TYPE SMALLFILE

更多關於表空間的請參考：Oracle 表空間與數據文件

1.修改用戶

修改用戶的語法同建立用戶，僅僅講關鍵字create替換爲alter，alter user能夠修改除用戶名以外的任一屬性

ALTER USER robinson ACCOUNT LOCK;

2.修改密碼

DBA 能夠建立用戶和修改密碼

用戶本人可使用ALTER USER 語句修改密碼

SQL> ALTER robinson IDENTIFIED BY newpassword;

3.刪除用戶：

DROP USER username [CASCADE]

CASECADE 連同用戶建立的對象一併刪除，若是該用戶建立了對象，要加CASCADE刪除，不然刪除不掉

另外，不能刪除當前正在與ORACLE服務器相連的用戶。

4.改變用戶在表空間上的配額：

ALTER USER username QUOTA 0 ON system;

ALTER USER scott QUOTA UNLIMITED ON USERS;

ALTER USER dog QUOTA 30M ON system;

5.查看用戶表空間配額（dba_ts_quotas)：

SQL> SELECT USERNAME,TABLESPACE_NAME,MAX_BYTES/1024/1024 "Max MB"

2 FROM dba_ts_quotas WHERE USERNAME='SCOTT';

USERNAME TABLESPACE_NAME Max MB

------------------------------ --------------------------

SCOTT SYSTEM 30

6.查看特定對象下用戶所擁有的對象

使用dba_objects視圖

SQL> SELECT owner,object_name, object_type FROM dba_objects WHERE owner= 'SCOTT';

3、ORACLE權限：

系統權限: 容許用戶執行特定的數據庫動做，如建立表、建立索引、鏈接實例等

對象權限: 容許用戶操縱一些特定的對象，如讀取視圖，可更新某些列、執行存儲過程等

1.系統權限

超過一百多種有效的權限（SELECT * FROM SYSTEM_PRIVILEGE_MAP查）

數據庫管理員具備高級權限以完成管理任務，例如:

–建立新用戶

–刪除用戶

–刪除表

–備份表

a.經常使用的系統權限：

CREATE SESSION 建立會話

CREATE SEQUENCE 建立序列

CREATE SYNONYM 建立同名對象

CREATE TABLE 在用戶模式中建立表

CREATE ANY TABLE 在任何模式中建立表

DROP TABLE 在用戶模式中刪除表

DROP ANY TABLE 在任何模式中刪除表

CREATE PROCEDURE 建立存儲過程

EXECUTE ANY PROCEDURE 執行任何模式的存儲過程

CREATE USER 建立用戶

DROP USER 刪除用戶

CREATE VIEW 建立視圖

b.授予用戶系統權限

GRANT privilege [, privilege...] TO user [, user| role, PUBLIC...]

[WITH ADMIN OPTION];

PUBLIC 全部用戶

WITH ADMIN OPTION 使用戶一樣具備分配權限的權利，可將此權限授予別人

SQL> GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO scott;

SQL> GRANT EXECUTE ANY PROCEDURE TO scott WITH ADMIN OPTION;

SQL> CONN scott; --scott具備WITH ADMIN OPTION，故能夠將EXECUTE ANY PROCEDURE授予robinson

Enter password:

Connected.

SQL> GRANT EXECUTE ANY PROCEDURE TO robinson;

Grant succeeded.

SQL> GRANT EXECUTE ANY PROCEDURE TO PUBLIC; --將EXECUTE ANY PROCEDURE授予全部用戶

Grant succeeded.

SQL> CONN system/redhat; --使用system爲robinson授予CREATE TABLE、CREATE SESSION權限

Connected.

SQL> GRANT CREATE TABLE,CREATE SESSION TO robinson;

Grant succeeded.

c.使用系統權限

--使用robinson具備建立會話、建立表

SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES; --下面提示沒有權限在users表空間建立對象

CREATE TABLE tb1 AS SELECT * FROM USER_TABLES

ERROR at line 1:

ORA-01950: no privileges on tablespace 'USERS'

SQL> CONN sys as sysdba; --使用sys賬戶登錄併爲robinson在users表空間指定配額後能夠建立表tb1

Enter password:

Connected.

SQL> ALTER USER robinson QUOTA 10M ON USERS;

User altered.

SQL> CONN robinson/lion;

Connected.

SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES;

Table created.

d.查看系統權限

dba_sys_privs --針對全部用戶被授予的系統權限

user_sys_privs --針對當前登錄用戶被授予的系統權限

SQL> SELECT grantee,privilege,admin_option FROM dba_sys_privs

2 WHERE grantee IN ('SCOTT','ROBINSON')

3 ORDER BY grantee;

GRANTEE PRIVILEGE ADM

------------------------------ ---------------------------------------- ---

ROBINSON CREATE SESSION NO

ROBINSON CREATE TABLE NO

ROBINSON EXECUTE ANY PROCEDURE NO

SCOTT CREATE PUBLIC SYNONYM NO

SCOTT CREATE SESSION NO

SCOTT CREATE SYNONYM NO

SCOTT CREATE TABLE NO

SCOTT CREATE USER NO

SCOTT CREATE VIEW NO

SCOTT EXECUTE ANY PROCEDURE YES

SCOTT UNLIMITED TABLESPACE NO

e.回收系統權限

REVOKE {privilege | role} FROM {user_name | role_name | PUBLIC}

--下面的示例中並無回收掉原來由scott授予給robisnon EXECUTE ANY PROCEDURE 的權限

SQL> REVOKE EXECUTE ANY PROCEDURE FROM scott;

Revoke succeeded.

SQL> select grantee,privilege,admin_option from dba_sys_privs

2 where grantee in ('SCOTT','ROBINSON') and privilege = 'EXECUTE ANY PROCEDURE'

3 order by grantee;

GRANTEE PRIVILEGE ADM

------------------------------ ---------------------------------------- ---

ROBINSON EXECUTE ANY PROCEDURE NO

注意：對於使用with admin option 爲某個用戶授予系統權限，那麼對於被這個用戶授予相同權限的全部

用戶來講，取消該用戶的系統權限並不會級聯取消這些用戶的相同權限

2.對象權限

不一樣的對象具備不一樣的對象權限

對象的擁有者擁有全部權限

對象的擁有者能夠向外分配權限

ORACLE一共有種對象權限

對象權限表視圖序列過程

修改(alter) √ √

刪除(delete) √ √

執行(execute) √

索引(index) √

插入(insert) √ √

關聯(references) √ √

選擇(select) √ √ √

更新(update) √ √

a.對象受權

GRANT object_priv｜ALL [(columns)]

ON object

TO {user|role|PUBLIC}

[WITH GRANT OPTION];

ALL：全部對象權限

PUBLIC：授給全部的用戶

WITH GRANT OPTION：容許用戶再次給其它用戶受權

b.授予系統權限與授予對象權限的語法差別：

授予對象權限時須要指定關鍵字ON，從而可以肯定權限所應用的對象。對於表和視圖能夠指定特定的列來受權。

--對象受權示例

SQL> SHOW USER;

USER is "SCOTT"

SQL> GRANT SELECT ON emp TO robinson;

Grant succeeded.

SQL> GRANT UPDATE(sal,mgr) ON emp TO robinson WITH GRANT OPTION;

Grant succeeded.

--新建立一個用戶john，使用robinson帳戶授予更新scott.emp(sal,mgr)的權限

SQL> CREATE USER john IDENTIFIED BY john;

User created.

SQL> GRANT CREATE SESSION TO john;

Grant succeeded.

SQL> CONN ROBINSON/LION

Connected.

SQL> GRANT UPDATE(sal,mgr) ON scott.emp TO john; --授予scott.emp(sal,mgr)的更新權限

Grant succeeded.

SQL> UPDATE scott.emp SET sal = sal + 100 WHERE ename = 'SCOTT'; --成功更新

1 row updated.

--向數據庫中全部用戶分配權限

SQL> GRANT SELECT ON dept TO PUBLIC;

Grant succeeded.

c.查詢權限分配狀況

數據字典視圖描述

ROLE_SYS_PRIVS 角色擁有的系統權限

ROLE_TAB_PRIVS 角色擁有的對象權限

USER_TAB_PRIVS_MADE 查詢授出去的對象權限(一般是屬主本身查）

USER_TAB_PRIVS_RECD 用戶擁有的對象權限

USER_COL_PRIVS_MADE 用戶分配出去的列的對象權限

USER_COL_PRIVS_RECD 用戶擁有的關於列的對象權限

USER_SYS_PRIVS 用戶擁有的系統權限

USER_TAB_PRIVS 用戶擁有的對象權限

USER_ROLE_PRIVS 用戶擁有的角色

--查詢已授予的對象權限(即某個用戶對哪些表對哪些用戶開放了對象權限)

SQL> SELECT * FROM user_tab_privs_made; --下面是scott用戶開放的對象權限

GRANTEE TABLE_NAME GRANTOR PRIVILEGE GRA HIE

-------------------- ------------------------ ------------------------- -------------------- --- ---

PUBLIC DEPT SCOTT SELECT NO NO

ROBINSON EMP SCOTT SELECT NO NO

--查詢列上開放的對象權限

SQL> SELECT * FROM user_col_privs_made;

GRANTEE TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA

-------------------- -------------------- --------------------- -------------- -------------------- ---

ROBINSON EMP SAL SCOTT UPDATE YES

JOHN EMP MGR ROBINSON UPDATE NO

ROBINSON EMP MGR SCOTT UPDATE YES

JOHN EMP SAL ROBINSON UPDATE NO

--查詢已接受的對象特權(即某個用戶被授予了哪些表上的哪些對象特權)

SQL> SELECT * FROM user_tab_privs_recd;

OWNER TABLE_NAME GRANTOR PRIVILEGE GRA HIE

-------------------- -------------------- ------------------------------ -------------------- --- ---

SCOTT EMP SCOTT SELECT NO NO

--查詢用戶已接受列的對象權限

SQL> SELECT * FROM user_col_privs_recd;

OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA

-------------------- ------------------ ---------------- -------------------- -------------------- ---

SCOTT EMP MGR SCOTT UPDATE YES

SCOTT EMP SAL SCOTT UPDATE YES

d.收回對象權限

使用REVOKE 語句收回權限

使用WITH GRANT OPTION 子句所分配的權限一樣被收回

REVOKE {privilege [, privilege...]|ALL}

ON object

FROM {user[, user...]|role|PUBLIC}

[CASCADE CONSTRAINTS];

CASCADE CONSTRAINTS 爲處理引用完整性時須要

--收回權限示例

SQL> conn scott/tiger;

Connected.

SQL> REVOKE SELECT ON emp FROM robinson;

Revoke succeeded.

SQL> REVOKE UPDATE(sal,mgr) ON emp FROM robinson; --注意此處的提示revoke的是整個表，而非列

REVOKE UPDATE(sal,mgr) ON emp FROM robinson

ERROR at line 1:

ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column

SQL> REVOKE UPDATE ON emp FROM robinson;

Revoke succeeded.

--用戶robinson的update 權限被revoke,曾級聯賦予john的權限也被收回，

--以下提示表、視圖不存在，user_col_privs_recd中無記錄

SQL> CONN john/john;

Connected.

SQL> UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT';

UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT'

ERROR at line 1:

ORA-00942: table or view does not exist

SQL> SELECT * FROM user_col_privs_recd;

no rows selected

注意：若是取消某個用戶的對象權限，對於該用戶使用with grant option授予其它用戶相同權限來講，

將級聯刪除這些用戶權限

e.其它

檢查DBA權限的用戶

select * from dba_role_privs where granted_role='DBA';

查看用戶具備的系統權限：

SELECT * FROM session_privs;

4、總結

1.使用create user語句建立用戶，alter user語句修改用戶，其語法大體相同

drop user username [CASCADE] 會刪除用戶所擁有的全部對象及數據

2.系統權限容許用戶在數據庫中執行特定的操做，如執行DDL語句。

with admin option 使得該用戶具備將自身得到的權限授予其它用戶的功能

但收回系統權限時，不會從其它賬戶級聯取消曾被授予的相同權限

3.對象權限容許用戶對數據庫對象執行特定的操做，如執行DML語句。

with grant option 使得該用戶具備將自身得到的對象權限授予其它用戶的功能

但收回對象權限時，會從其它賬戶級聯取消曾被授予的相同權限

4.系統權限與對象權限授予時的語法差別爲對象權限使用了ON object_name 子句

5. PUBLIC 爲全部的用戶

6. ALL：對象權限中的全部對象權限

5、更多

Oracle 角色、配置文件

Oracle 表空間與數據文件

SQL 基礎--> 集合運算(UNION 與UNION ALL)

Oracle 密碼文件

使用OEM,SQL*Plus,iSQL*Plus 管理Oracle實例

Oracle實例和Oracle數據庫(Oracle體系結構)

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。