當剛剛建立用戶時,用戶沒有任何權限,也不能執行任何操作。如果要執行某種特定的數據庫操作,則必須為其授予系統的權限;如果用戶要訪問其它方案的對象,則必須為其授予對象的權限。為了簡化權限的管理,可以使用角色。
權限是指執行特定類型sql命令或是訪問其它方案對象的權利,包括系統權限和對象權限兩種。
系統權限
系統權限介紹系統權限是指執行特定類型sql命令的權利。它用於控制用戶可以執行的壹個或是壹組數據庫操作。比如當用戶具有create table權限時,可以在其方案中建表,當用戶具有create any table權限時,可以在任何方案中建表。oracle提供了100多種系統權限。
常用的有:
create session 連接數據庫 create table 建表
create view 建視圖 create public synonym 建同義詞
create procedure 建過程、函數、包 create trigger 建觸發器
create cluster 建簇
顯示系統權限oracle提供了100多種系統權限,而且oracle的版本越高,提供的系統權限就越多,我們可以查詢數據字典視圖system_privilege_map,可以顯示所有系統權限。
select * from system_privilege_map order by name;
授予系統權限壹般情況,授予系統權限是由dba完成的,如果用其他用戶來授予系統權限,則要求該用戶必須具有grant any privilege的系統權限。在授予系統權限時,可以帶有with admin option選項,這樣,被授予權限的用戶或是角色還可以將該系統權限授予其它的用戶或是角色。為了讓大家快速理解,我們舉例說明:
1.創建兩個用戶ken,tom。初始階段他們沒有任何權限,如果登錄就會給出錯誤的信息。
create user ken identfied by ken;
2 給用戶ken授權
1). grant create session, create table to ken with admin option;
2). grant create view to ken;
3 給用戶tom授權
我們可以通過ken給tom授權,因為with admin option是加上的。當然也可以通過dba給tom授權,我們就用ken給tom授權:
1. grant create session, create table to tom;
2. grant create view to ken; --ok嗎?不ok
回收系統權限壹般情況下,回收系統權限是dba來完成的,如果其它的用戶來回收系統權限,要求該用戶必須具有相應系統權限及轉授系統權限的選項(with admin option)。回收系統權限使用revoke來完成。
當回收了系統權限後,用戶就不能執行相應的操作了,但是請註意,系統權限級聯收回的問題?[不是級聯回收!]
system --------->ken ---------->tom
(create session)(create session)( create session)
用system執行如下操作:
revoke create session from ken; --請思考tom還能登錄嗎?
答案:能,可以登錄
對象權限
對象權限介紹指訪問其它方案對象的權利,用戶可以直接訪問自己方案的對象,但是如果要訪問別的方案的對象,則必須具有對象的權限。
比如smith用戶要訪問scott.emp表(scott:方案,emp:表)
常用的有:
alter 修改 delete 刪除 select 查詢 insert 添加
update 修改 index 索引 references 引用 execute 執行
顯示對象權限通過數據字段視圖可以顯示用戶或是角色所具有的對象權限。視圖為dba_tab_privs
SQL> conn system/manager;
SQL> select distinct privilege from dba_tab_privs;
SQL> select grantor, owner, table_name, privilege from dba_tab_privs where grantee = 'BLAKE';
1.授予對象權限
在oracle9i前,授予對象權限是由對象的所有者來完成的,如果用其它的用戶來操作,則需要用戶具有相應的(with grant option)權限,從oracle9i開始,dba用戶(sys,system)可以將任何對象上的對象權限授予其它用戶。授予對象權限是用grant命令來完成的。
對象權限可以授予用戶,角色,和public。在授予權限時,如果帶有with grant option選項,則可以將該權限轉授給其它用戶。但是要註意with grant option選項不能被授予角色。
1.monkey用戶要操作scott.emp表,則必須授予相應的對象權限
1). 希望monkey可以查詢scott.emp表的數據,怎樣操作?
grant select on emp to monkey;
2). 希望monkey可以修改scott.emp的表數據,怎樣操作?
grant update on emp to monkey;
3). 希望monkey可以刪除scott.emp的表數據,怎樣操作?
grant delete on emp to monkey;
4). 有沒有更加簡單的方法,壹次把所有權限賦給monkey?
grant all on emp to monkey;
2.能否對monkey訪問權限更加精細控制。(授予列權限)
1). 希望monkey只可以修改scott.emp的表的sal字段,怎樣操作?
grant update on emp(sal) to monkey
2).希望monkey只可以查詢scott.emp的表的ename,sal數據,怎樣操作?
grant select on emp(ename,sal) to monkey
...
3.授予alter權限
如果black用戶要修改scott.emp表的結構,則必須授予alter對象權限
SQL> conn scott/tiger
SQL> grant alter on emp to blake;
當然也可以用system,sys來完成這件事。
4.授予execute權限
如果用戶想要執行其它方案的包/過程/函數,則須有execute權限。
比如為了讓ken可以執行包dbms_transaction,可以授予execute權限。
SQL> conn system/manager
SQL> grant execute on dbms_transaction to ken;
5.授予index權限
如果想在別的方案的表上建立索引,則必須具有index對象權限。
如果為了讓black可以在scott.emp表上建立索引,就給其index的對象權限
SQL> conn scott/tiger
SQL> grant index on scott.emp to blake;
6.使用with grant option選項
該選項用於轉授對象權限。但是該選項只能被授予用戶,而不能授予角色
SQL> conn scott/tiger;
SQL> grant select on emp to blake with grant option;
SQL> conn black/shunping
SQL> grant select on scott.emp to jones;
回收對象權限在oracle9i中,收回對象的權限可以由對象的所有者來完成,也可以用dba用戶(sys,system)來完成。
這裏要說明的是:收回對象權限後,用戶就不能執行相應的sql命令,但是要註意的是對象的權限是否會被級聯收回?級聯回收
如:scott------------->blake-------------->jones
select on emp select on emp select on emp
SQL> conn scott/tiger@accp
SQL> revoke select on emp from blake
請大家思考,jones能否查詢scott.emp表數據。
答案:查不了了(和系統權限不壹樣,剛好相反)
角色:
角色就是相關權限的命令集合,使用角色的主要目的就是為了簡化權限的管理,假定有用戶a,b,c為了讓他們都擁有權限
1. 連接數據庫
2. 在scott.emp表上select,insert,update。
如果采用直接授權操作,則需要進行12次授權。
因為要進行12次授權操作,所以比較麻煩喔!怎麽辦?
如果我們采用角色就可以簡化:
首先將creat session,select on scott.emp,insert on scott.emp, update on scott.emp授予角色,然後將該角色授予a,b,c用戶,這樣就可以三次授權搞定。
角色分為預定義和自定義角色兩類:
預定義角色預定義角色是指oracle所提供的角色,每種角色都用於執行壹些特定的管理任務,下面我們介紹常用的預定義角色connect,resource,dba
1.connect角色
connect角色具有壹般應用開發人員需要的大部分權限,當建立了壹個用戶後,多數情況下,只要給用戶授予connect和resource角色就夠了,那麽connect角色具有哪些系統權限呢?
alter session
create cluster
create database link
create session
create table
create view
create sequence
2.resource角色
resource角色具有應用開發人員所需要的其它權限,比如建立存儲過程,觸發器等。這裏需要註意的是resource角色隱含了unlimited tablespace系統權限。
resource角色包含以下系統權限:
create cluster
create indextype
create table
create sequence
create type
create procedure
create trigger
3.dba角色
dba角色具有所有的系統權限,及with admin option選項,默認的dba用戶為sys和system,它們可以將任何系統權限授予其他用戶。但是要註意的是dba角色不具備sysdba和sysoper的特權(啟動和關閉數據庫)。
自定義角色顧名思義就是自己定義的角色,根據自己的需要來定義。壹般是dba來建立,如果用別的用戶來建立,則需要具有create role的系統權限。在建立角色時可以指定驗證方式(不驗證,數據庫驗證等)。
1.建立角色(不驗證)
如果角色是公用的角色,可以采用不驗證的方式建立角色。
create role 角色名 not identified;
2.建立角色(數據庫驗證)
采用這樣的方式時,角色名、口令存放在數據庫中。當激活該角色時,必須提供口令。在建立這種角色時,需要為其提供口令。
create role 角色名 identified by 密碼;
角色授權
當建立角色時,角色沒有任何權限,為了使得角色完成特定任務,必須為其授予相應的系統權限和對象權限。
1.給角色授權
給角色授予權限和給用戶授權沒有太多區別,但是要註意,系統權限的unlimited tablespace和對象權限的with grant option選項是不能授予角色的。
SQL> conn system/manager;
SQL> grant create session to 角色名 with admin option
SQL> conn scott/tiger@myoral;
SQL> grant select on scott.emp to 角色名;
SQL> grant insert, update, delete on scott.emp to 角色名;
通過上面的步驟,就給角色授權了。
2.分配角色給某個用戶
壹般分配角色是由dba來完成的,如果要以其它用戶身份分配角色,則要求用戶必須具有grant any role的系統權限。
SQL> conn system/manager;
SQL> grant 角色名 to blake with admin option;
因為我給了with admin option選項,所以,blake可以把system分配給它的角色分配給別的用戶。
刪除角色使用drop role,壹般是dba來執行,如果其它用戶則要求該用戶具有drop any role系統權限。
SQL> conn system/manager;
SQL> drop role 角色名;
問題:如果角色被刪除,那麽被授予角色的用戶是否還具有之前角色裏的權限?
答案:不具有了
顯示角色信息1.顯示所有角色
SQL> select * from dba_roles;
2.顯示角色具有的系統權限
SQL> select privilege, admin_option from role_sys_privs where role='角色名';
3.顯示角色具有的對象權限
通過查詢數據字典視圖dba_tab_privs可以查看角色具有的對象權限或是列的權限。
4.顯示用戶具有的角色,及默認角色
當以用戶的身份連接到數據庫時,oracle會自動的激活默認的角色,通過查詢數據字典視圖dba_role_privs可以顯示某個用戶具有的所有角色及當前默認的角色
SQL> select granted_role, default_role from dba_role_privs where grantee = ‘用戶名’;
精細訪問控制精細訪問控制是指用戶可以使用函數,策略實現更加細微的安全訪問控制。如果使用精細訪問控制,則當在客戶端發出sql語句(select,insert,update,delete)時,oracle會自動在sql語句後追加謂詞(where子句),並執行新的sql語句,通過這樣的控制,可以使得不同的數據庫用戶在訪問相同表時,返回不同的數據信息,如:
用戶 scott blake jones
策略 emp_access
數據庫表 emp
如上圖所示,通過策略emp_access,用戶scott,black,jones在執行相同的sql語句時,可以返回不同的結果。例如:當執行select ename from emp; 時,根據實際情況可以返回不同的結果。
實際上角色有點像JAVA中的代碼重構.預定義角色和自定義角色就像是吃飯時的套餐和自助餐.