oracle权限传递

 

三个用户：SYS、lisi、wangwu

① 系统权限的传递

 

lisi的初始化系统权限

SQL> select * from user_sys_privs;

USERNAME                       PRIVILEGE                                ADM

------------------------------ ---------------------------------------- ---

PUBLIC                         CREATE ANY TABLE                         NO

LISI                           CREATE SESSION                           NO

LISI                           CREATE TABLE                             NO

LISI                           UNLIMITED TABLESPACE                     NO



wangwu的初始化系统权限

SQL>  select * from user_sys_privs;

USERNAME                       PRIVILEGE                                ADM

------------------------------ ---------------------------------------- ---

PUBLIC                         CREATE ANY TABLE                         NO

WANGWU                         CREATE TABLE                             NO

WANGWU                         CREATE SESSION                           NO

WANGWU                         UNLIMITED TABLESPACE                     NO

 

现在SYS将修改任意表的系统权限赋予lisi

 

SQL> grant alter any table to lisi;

授权成功。

 

现在lisi的系统权限变为

SQL> select * from user_sys_privs;



USERNAME                       PRIVILEGE                                ADM

------------------------------ ---------------------------------------- ---

PUBLIC                         CREATE ANY TABLE                         NO

LISI                           CREATE SESSION                           NO

LISI                           ALTER ANY TABLE                          NO

LISI                           CREATE TABLE                             NO

LISI                           UNLIMITED TABLESPACE                     NO

注意此时新增项的ADM为NO
现在我们将修改任意表的权限由lisi赋予给wangwu

 

SQL> grant alter any table to wangwu;

grant alter any table to wangwu

*

第 1 行出现错误:

ORA-01031: 权限不足

 

表明这样是无法级联授权的，SYS用户在授予lisi权限的时候需要给予管理选项
SYS：

SQL> grant alter any table to lisi with admin option;

授权成功。

lisi： 

SQL> select * from user_sys_privs;



USERNAME                       PRIVILEGE                                ADM

------------------------------ ---------------------------------------- ---

PUBLIC                         CREATE ANY TABLE                         NO

LISI                           CREATE SESSION                           NO

LISI                           ALTER ANY TABLE                          YES

LISI                           CREATE TABLE                             NO

LISI                           UNLIMITED TABLESPACE                     NO

这时ALTER ANY TABLE一行的ADM是yes，再将权限由lisi赋予给wangwu

SQL> grant alter any table to wangwu;

授权成功。

这时wangwu还能将该权限赋予其他的用户吗？答案是NO

wangwu：

SQL>  select * from user_sys_privs;



USERNAME                       PRIVILEGE                                ADM

------------------------------ ---------------------------------------- ---

PUBLIC                         CREATE ANY TABLE                         NO

WANGWU                         CREATE TABLE                             NO

WANGWU                         CREATE SESSION                           NO

WANGWU                         ALTER ANY TABLE                          NO

WANGWU                         UNLIMITED TABLESPACE                     NO

如果需要wangwu也有授予的功能，则lisi授权时需要再加上with admin option

② 对象权限的传递

SYS用户新建一个表obj并将查询的权限赋予lisi

SQL> create table obj(id int);

表已创建。



SQL> grant select on obj to lisi;

授权成功。

lisi查看自己的对象权限

SQL> set linesize 400

SQL> select * from user_tab_privs;



GRANTEE        LISI  

OWNER        SYS      

TABLE_NAME    OBJ     

GRANTOR        SYS  

PRIVILEGE    SELECT   

GRA            NO 

HIE            NO

将对象权限赋予wangwu需要SYS赋予lisi级联权限

SQL> grant select on obj to lisi with grant option;

授权成功。

wangwu：

SQL> select * from user_tab_privs;



GRANTEE            WANGWU

OWNER              SYS

TABLE_NAME        USER_OBJECTS        

GRANTOR           LISI

PRIVILEGE       SELECT 

GRA                NO

HIE                NO

同样的，如果需要wangwu也有授予的功能，则lisi授权时需要再加上with grant option。