权限主要可以分成三类:系统权限、角色、对象权限,角色是一类系统权限的分组,
Oracle 的角色存放在表 dba_roles 中,某角色包含的系统权限存放在 dba_sys_privs 中,
包含的对象权限存放在 dba_tab_privs 中。
2.1、系统权限:
系统权限其实就是用户在当前用户架构下所具有的权限,在11g中系统权限有200个,
比如create table,UNLIMITED TABLESPACE等。
1、查询当前用户拥有的系统权限:
select * from session_privs;
2、查询某一个用户的系统权限:
select * from dba_role_privs where GRANTEE='<用户名>';
select * from dba_sys_privs where GRANTEE='<用户名>';
2.2、角色:
角色其实就是一类系统权限的分组,所以给用户分配角色其实也是在给用户分配系统权限;
1、在oracle中有三个比较常用的角色:
1)
CONNECT(基本的连接), RESOURCE(程序开发),DBA(数据库管理);
2)
DBA:拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构;
RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构;
CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可以创建数据库结构;
3)
对于普通用户:授予connect, resource权限;
对于DBA管理用户:授予connect,resource, dba权限;
4)查看RESOURCE和CONNECT角色中所包含的系统权限:
SELECT * FROM dba_sys_privs WHERE grantee IN ('RESOURCE', 'CONNECT') ORDER BY 1;
2、查询当前用户拥有的角色:
SELECT * FROM USER_ROLE_PRIVS;
3、查询当前用户拥有的角色和对应的系统权限:
select * from role_sys_privs;
2.3、对象权限(表级权限):
对象权限指的是其它拥有用户的对象的权限,即对表的操作权限,其它用户对象的权限包括:
SELECT,DELETE,UPDATE,ALTER,INSERT,INDEX,REFERENCES,FLASHBACK,DEBUG,QUERY REWRITE,ON COMMIT REFRESH;
1、查询当前用户拥有的对象权限:
SELECT * FROM USER_TAB_PRIVS;
2.4、grant授权:
1、授予用户系统权限:
GRANT CREATE VIEW TO <用户名>;
#给用户添加"RESOURCE"角色权限中没有的创建视图的权限;
补充:
#CREATE DATABASE LINK:建立表空间链接
#CREATE SYNONYM:建立同义词
2、授予用户角色权限:
GRANT CONNECT,RESOURCE TO <用户名>;
3、授予用户对象权限:
GRANT SELECT,INSERT,UPDATE,DELETE ON <表名> TO <用户名>;
GRANT ALL PRIVILEGES ON <表名> to <用户名>;
grant connect,select any table to <用户名>;
#所有表赋予查询权限
2.5、REVOKE 回收权限:
1、回收系统权限:
REVOKE CREATE VIEW FROM <用户名>;
2、回收角色权限:
REVOKE CONNECT,RESOURCE FROM <用户名>;
3、回收对象权限:
REVOKE INSERT,UPDATE,DELETE ON <表名> FROM <用户名>;
2.5、角色管理:
1、创建一个角色:
create role <角色名>;
2、将系统权限授权给角色:
grant create any table,create procedure to <角色名>;
3、查看角色所包含的权限
SELECT * FROM dba_sys_privs WHERE grantee IN ('<角色名>') ORDER BY 1;
4、将角色授权给用户:
grant <角色名> to <用户名>;
alter user <用户名> default role <角色名>;
#将指定角色设置为指定用户的默认角色;
5、生效角色:
set role <角色名>;
#使特定的角色生效;
set role all;
#将所有的角色生效;
set role none;
#将所有的角色失效;
6、删除角色:
drop role <角色名>;
#角色删除后,原来拥用该角色的用户就不再拥有该角色了,相应的权限也就没有了;
2.6、用户操作:
1、创建用户:
create user <用户名> identified by <密码>;
alter user <用户名> identified by <密码>;
#修改密码;
2、删除用户:
drop user <用户名> cascade;
3、设置用户密码登录后失效,并要求修改密码:
alter user <用户名> password expire;
4、账户锁定和解锁:
alter user 用户名 account lock;
#账户锁定;
alter user 用户名 account unlock;
#解锁账号;
5、启用scott用户:
scott是一个系统已经新建好的普通用户,用户名scott,密码默认tiger,
默认状态是被锁定,DBA用户执行"alter user scott account unlock"可以
解锁登陆;