实验四 用户权限管理

用户权限管理

一、 实验目的
对ORACLE数据库系统的用户权限管理有感性认识。
二、 实验原理
权限分类：
系统权限：
系统规定用户使用数据库的权限。（系统权限是对用户而言)。
实体权限：
某种权限用户对其它用户的表或视图的存取权限（针对表或视图而言）。
系统权限管理：
1、系统权限分类：
DBA：拥有全部特权，是系统最高权限，只有DBA才可以创建数据库结构。
RESOURCE：拥有Resource权限的用户只可以创建实体，不可以创建数据库结构。
CONNECT：拥有Connect权限的用户只可以登录Oracle，不可以创建实体，不可以创建数据库结构。
对于普通用户：授予connect, resource权限。
对于DBA管理用户：授予connect，resource, dba权限。

2、系统权限授权命令：
系统权限只能由DBA用户授出：sys, system（最开始只能是这两个用户）
授权命令：grant connect, resource, dba to 用户名1 [,用户名2]…;
普通用户通过授权可以具有与system相同的用户权限，但永远不能达到与sys用户相同的权限，system用户的权限也可以被回收。
例：以system用户身份连接数据库之后，执行：
create user cc identified by ccpassword ;
grant resource, connect, DBA to cc;
查询用户拥有哪里权限：
select * from dba_role_privs;
select * from dba_sys_privs;
select * from role_sys_privs;
删除用户： drop user 用户名 cascade;
//加上cascade则将用户连同其创建的东西全部删除
3、系统权限传递：
增加WITH ADMIN OPTION选项，则得到的权限可以传递。
grant connect, resource to CC with admin option; //可以传递所获权限
4、系统权限回收：系统权限只能由DBA用户回收
Revoke dba, resource from CC;
5、删除用户
drop user 用户名; //用户没有建任何实体
drop user 用户名 CASCADE; // 将用户及其所建实体全部删除
说明：当前正连接的用户不得删除。
实体权限管理
1、实体权限分类：
select, update, insert, alter, index, delete, all //all包括所有权限
execute //执行存储过程权限
user01:
grant select, update, insert on product to user02;
grant all on product to user02;
user02:
select * from user01.product;
// 此时user02查user_tables（连接中能显示的），不包括user01.product这个表，但如果查all_tables则可以查到，因为他可以访问。
2. 将表的操作权限授予全体用户：
grant all on product to public;
// public表示是所有的用户，这里的all权限不包括drop。
select owner, table_name from all_tables; // 用户可以查询的表
select table_name from user_tables; // 用户创建的表
select grantor, table_schema, table_name, privilege from all_tab_privs;
// 获权可以存取的表（被授权的）
select grantee, owner, table_name, privilege from user_tab_privs;
// 授出权限的表(授出的权限)
3. DBA用户可以操作全体用户的任意基表（无需授权，包括删除）：
DBA用户：
Create table stud02.product(id number(10), name varchar2(20));
drop table stud02.emp;
create table stud02.employee as select * from scott.emp;
4. 实体权限传递(with grant option)：
user01:
grant select, update on product to user02 with grant option;
// user02得到权限，并可以传递。
5. 实体权限回收：
user01:
Revoke select, update on product from user02; //传递的权限将全部丢失。
说明：如果取消某个用户的对象权限，那么对于这个用户使用WITH GRANT OPTION授予权限的用户来说，同样还会取消这些用户的相同权限，也就是说取消授权时级联的。
三、 使用仪器、材料
Oracle 11g，windows10；
四、 实验步骤

1、	以SYSTEM身份连接到orcl数据库，创建新的用户并授权（如果原来已有这个用户，可以忽略本步骤）：
2、	以用户CC的身份建立连接，并在此连接下执行后面的操作；
3、	在CC连接中：拷贝代码运行，删去旧的同名数据表（如果是新创建的用户，此步骤可以省略）：
4、	在CC连接中：拷贝代码运行，建立表格及输入数据：
5、	在CC连接中：确认orcl数据库中有这三个数据表，以及相应的数据
6、	在CC连接中：查询用户CC的权限信息（每句单独执行）：
7、	在CC连接中：查询用户创建的表
8、	在CC连接中：删去数据表BR，成功吗？
9、	回收用户CC的部分权限：以SYSTEM的身份连接（可以在SQL DEVELOPER的右上角切换），在此连接中执行
Revoke dba, resource from CC;
10、	以CC的身份连接数据库（可以在SQL DEVELOPER的右上角选择连接），执行：
Create Table Aa(cola int);
11、	切换为SYSTEM的连接，执行切换为SYSTEM的连接，执行
grant resource to CC;
12、	切换为CC的连接，执行
select * from user_role_privs;
13、	切换为SYSTEM的连接，执行
DROP USER CC;
成功吗？为什么？
14、	删除连接CC，在SYSTEM的连接中，执行
DROP USER CC;
成功吗？为什么？
15、	在SYSTEM的连接中，重新创建用户CC和DD：
16、	以CC和DD的身份分别建立连接，使得目前系统加上原来的SYSTEM共有三个连接（为识别方便，连接名和用户名一致） 
选择CC连接，执行：
Create Table from_CC(内容 char(1));
Insert into from_cc values('a');
select * from from_cc;
选择DD连接，执行：
select owner, table_name from all_tables where table_name='FROM_CC';
显示什么？什么意思？
17、	选择CC连接，执行：
Revoke insert on FROM_CC from DD;
选择DD连接，执行：
select * from cc.from_cc;
Insert into cc.from_cc values('z');  
select * from cc.from_cc;

选择CC连接，执行：
Revoke all on FROM_CC from DD;
select * from cc.from_cc;  // 没有显示前面成功插入的记录'y'、'z'
选择DD连接，执行：
select * from cc.from_cc;  // 显示前面成功插入的记录'y'、'z'

18、	删除连接DD后，重新添加连接DD
select * from cc.from_cc;
select * from user_role_privs;
当前用户有多少种权限？
Create Table from_DD(哦 char(2));
能执行吗？
选择SYSTEM连接，执行：
grant resource to dd;
选择DD连接，执行：
Create Table from_DD(哦 char(2));
能执行吗？
删除连接DD后，重新添加连接DD
Create Table from_DD(哦 char(2));
Insert into from_dd values('甲');  
select * from from_dd;
能看到记录“甲”吗？
选择CC连接，执行：
select * from dd.from_dd;
能看到记录“甲”吗？
用户CC怎样才能看到from_dd表的所有记录？用户CC怎样才能为from_dd表添加记录？

五、 实验过程原始记录(实验过程、数据、图表、计算等)
1、

create user cc identified by ccpassword ;
grant resource, connect, DBA  to cc;

2、

select * from user_role_privs;

3、新用户创建，省略该步骤

4、

create table Reader
(
    RNO	varchar2(4) primary key,
    Rname	varchar2(10) not null,
    Rsex	varchar2(2),
    Rage	integer,
    Rboss	varchar2(10),
    Raddress	varchar2(30)
) ;
insert into Reader (RNO,Rname,Rage,Rsex,Rboss, Raddress) values('R001','张三',20,'男','李四','416');

create table Book
(
    BNO	varchar2(4),
    Bname	varchar2(50) not null,
    Bauthor	varchar2(50),
    Bpress	varchar2(50),
    Bprice	numeric(6,2), 
    primary key(BNO)
);
insert into book (BNO,Bauthor,Bname, bpress, bprice) values('B001','严蔚敏','数据结构','清华大学出版社',null);

create table RB
(
    RNO varchar2(4),
    BNO varchar2(4),
    RBdate date default sysdate,
    primary key(RNO,BNO),
    foreign key (RNO) references Reader(RNO),
    foreign key (BNO) references Book(BNO)
);
insert into RB (RNO,BNO) values ('R001','B001');

5、



6、

select * from dba_role_privs;

select * from dba_sys_privs;

select * from role_sys_privs;

7、

select * from role_sys_privs;

8、

drop table rb;

select table_name from user_tables;

9、

select table_name from user_tables;

10、

Create Table Aa(cola int);

11、

grant resource to CC;

12、

select * from user_role_privs;

答：两种权限，分别是connect和resource。

Create Table Aa(cola int);

答：创建成功，resource权限可以创建实体。

13、

DROP USER CC;

答：删除失败，原因提示为用户当前已连接，所以无法删除。

14、

DROP USER CC;

答：没有成功，用户创建了表，无法直接删除。若要删除，必须加cascade关键词，不能仅仅断开连接。

Drop User Cc Cascade;

答：加上Cascade后连同用户创建的表一同删除，才能删除用户成功。删除如图所示，无法再用该身份连接。

15、

Create User Cc Identified By Ccpassword;
Create User dd identified by ddpassword; 
grant resource, connect, DBA  to cc,dd;

select * from dba_role_privs where GRANTEE in ('CC','DD');

16、

Create Table from_CC(内容 char(1));
Insert into from_cc values('a');
select * from from_cc;

select owner, table_name from all_tables where table_name='FROM_CC';

答：查看FROM_CC这个表的用户和表名

select * from from_cc;

答：表或视图不存在。

grant all on from_cc to dd;

select owner, table_name from all_tables where table_name='FROM_CC';

答：显示了查询的表和及其用户。

select * from from_cc;

答：依旧是表或视图不存在。

select * from cc.from_cc;

答：显示了用户CC中表cc的内容，这是因为语句调用了用户CC的cc表

Insert into cc.from_cc values('d');
select * from cc.from_cc;

答：没有“FROM_CC”这个表，但插入成功了

17、

Revoke insert on FROM_CC from DD;

select * from cc.from_cc;

Insert into cc.from_cc values('y');  
select * from cc.from_cc;

答：插入成功。

Revoke dba, resource from DD;

select * from cc.from_cc;

答：能显示表的内容。

Insert into cc.from_cc values('z');  
select * from cc.from_cc;

答：插入成功。

Revoke all on FROM_CC from DD;
select * from cc.from_cc;

select * from cc.from_cc;

18、

select * from cc.from_cc;

显示这个数据对象不存在。

select * from user_role_privs;

答：一种，只有自身connect权限。

Create Table from_DD(哦 char(2));

答：不能执行。

grant resource to dd;

Create Table from_DD(哦 char(2));

Create Table from_DD(哦 char(2));
Insert into from_dd values('甲');  
select * from from_dd;

答：不能看到记录甲。

select * from dd.from_dd;

答：不能看到记录“甲”。用户dd执行 grant all on from__dd to cc; 后，用户cc就能看到from__dd表的所有记录，同时也可以为from__dd添加记录。

六、实验结果及分析
实验结果截图，对实验进行说明和分析。
本处由于实验中所需截图过多，不进行一一上传，有需要实验结果截图或者其他实验报告完整版的同学可以点击https://download.csdn.net/download/weixin_43981315/12721378获取！