权限管理是 Oracle 系统的精华,不同用户登录到同一数据库中,可能看到不同数量的表,拥有不同的权限。Oracle 的权限分为系统权限和数据对象权限,共一百多种,如果单独对用户授权,很囧,有一些用户需要的权限是相同的,就把这些用户归为同一类——某种角色,通过设立一些有预定权限的角色简化和明确授权操作,角色出现的动机也就是为了简化权限管理,它是权限的集合。一般做法是:系统把权限赋给角色,然後把角色赋给用户,当然也可以直接把某权限赋给用户。Oracle 提供细粒度的权限,可以对表的某一列单独设置权限,可以对某用户查询某表自动增添 where 限制条件。
相关查询
Oracle 的角色存放在表 dba_roles 中,某角色包含的系统权限存放在 dba_sys_privs 中,包含的对象权限存放在 dba_tab_privs 中。
下面是“角色”、“用户”和“权限”的互查:
1. 用户
a. 查询用户列表。TODO
b. 查询某用户的角色。如:
select * from dba_role_privs where grantee='SCOTT'
如果是直接执行:
select * from role_sys_privs;
将得到当前用户的所有角色和系统权限。
c. 查询某用户的权限。
select * from dba_tab_privs where grantee='ZHANGSAN'; -- 对表对象的权限
select * from dba_sys_privs where grantee='ZHANGSAN'; -- 系统权限
2. 角色
角色有两类: 预定义角色和自定义角色。
a. 查询角色列表。可用如下 SQL
select * from dba_roles;
select distinct(granted_role) from dba_role_privs; -- 需要帐号 system 登录才能查看到。
b. 查询角色具有的权限。如要查询角色 RESOURCE 具有的全部权限可用如下 SQL:
select privilege, grantee from dba_sys_privs where grantee='RESOURCE'
union
select privilege, grantee from dba_tab_privs where grantee='RESOURCE';
c. 查询具有某角色的用户。TODO
3. 权限
权限分两大类:
a. 查询权限列表。因为角色 DBA 具有整个数据库系统所有的权限,所以如果要查询整个系统有哪些权限,也可以通过执行如下 SQL 得到:
select * from role_sys_privs where role='DBA'; -- 这个查询只得到 137 条记录,奇怪,和下面的不同。如果是通过普通用户如SCOTT登录执行此查询,将只看到他本人具有的全部系统权限。
select * from system_privilege_map order by name; -- 在 Oracle 9i2 中,是157条记录。
b. 查询具有某权限的角色。TODO
c. 查询具有某权限的用户。可以通过 dba_tab_privs 和 dba_sys_privs 查询。
自定义权限
创建角色
SQL> create role helloworldrole not identified;
授予一个系统权限
SQL> grant create session to helloworldrole with admin option;
授予一个对象权限
SQL> grant select on scott.emp to helloworldrole;
把角色授予给一用户
SQL> grant helloworldrole to zhangsan;
删除权限
SQL> drop role helloworldrole;
(权限删除後,前面授权过的用户 zhangsan 不再具有 create session 和 select on scott.emp 的权限了。删除权限操作,需要具有 delete any role 的权限。)
用户存亡
创建用户。需要dba权限的用户才能操作的。 Oracle 用户的密码必须以字母开头,
create user zhangsan identified by hello; -- 创建一个名为 zhangsan 的用户,密码是 hello
创建好後,还不能直接连接数据库,需要授权:
grant connect to zhangsan;有关授权的具体内容,参看本页下一节【权限分配】。
用户被授予 CONNECT 权限後,就可以连接数据库了:
conn zhangsan/hello;
修改用户密码。如果给自己修改密码可以在控制台执行命令: passw 或 password
如果管理员要修改别人的密码,可以在控制台执行命令: password 用户名
删除用户: drop user XXX 。注意,自己无法删除自己。
删除用户时,如果被删除的用户已经创建的有表,就需要带一个参数 cascade,就是指定删除时将创建的表都删掉。
权限分配
授权。可以一次授予多个角色,如:
grant connect, resource to umims;
一般用户分配 connect, resource 就可以建立连接,创建表并对表进行所有操作了,resource 这个角色可以在任意表空间建表。角色 DBA 拥有所有权限,授予时需谨慎。系统权限一般由 DBA 操作。
对象权限有这么几种:select, insert, update, deleted, all, create index, and etc..
grant select on emp to zhangsan; -- 这句可以在 scott 用户登录後执行。
grant select on scott.emp to zhangsan; -- 这句可以在 system 用户登录後执行,这里的 scott 是方案名。
权限的传递
希望 zhangsan 用户有查询 scott.emp 的权限,还希望张三能把这个权限传递给别人。
-- 如果是对象权限,在授权语句後加上 with grant option,带有 with grant option 的,不能授权给角色。
grant select on emp to zhangsan with grant option -- 可选的权限有 select, update, delete, insert, all
grant select(col1, col2) on emp to zhangsan ... -- 可以更细粒度
grant update(col2) on ... -- 可以更细粒度
-- 如果是系统权限,在授权语句後加上 with admin option
grant connect to zhangsan with admin option
注意,sys/system 两用户可以操作任何用户的对象权限。
回收权限
revoke update on emp from zhangsan;
谁 grant 的,谁收回,否则报错,但似乎 scott 赋给 zhangsan 的权限,system 无法收回,但反之可以(TODO)。 对象权限的回收,是级联的,而系统权限不是。
resource 角色包含了 unlimited table space 权限,dba 角色不具备 sysdaba 和 sysoper 的特权:启动和关闭数据库。