Oracle（91）如何授予权限（Grant）？

在Oracle数据库中，授予权限（Grant）是数据库管理员（DBA）日常工作的一部分。权限可以分为系统权限和对象权限。系统权限允许用户执行特定的数据库操作，而对象权限允许用户对特定的数据库对象（如表、视图、序列等）执行操作。

系统权限 vs. 对象权限

• 系统权限：与数据库级别的操作相关，例如创建会话、创建表、创建视图等。
• 对象权限：与数据库对象相关，例如对特定表的SELECT、INSERT、UPDATE、DELETE操作。

授予系统权限

系统权限允许用户执行数据库级别的操作。以下是一些常见的系统权限及其授予方法。

1. 连接数据库

首先，以具有管理员权限的用户（如SYS或SYSTEM）连接到Oracle数据库。

-- 使用SQL*Plus连接到数据库
sqlplus sys as sysdba
-- 或者使用其他工具如SQL Developer连接

2. 授予系统权限

使用GRANT语句授予系统权限。例如，授予用户创建会话、创建表和创建视图的权限。

-- 授予CREATE SESSION权限（允许用户连接到数据库）
GRANT CREATE SESSION TO my_user;

-- 授予CREATE TABLE权限（允许用户创建表）
GRANT CREATE TABLE TO my_user;

-- 授予CREATE VIEW权限（允许用户创建视图）
GRANT CREATE VIEW TO my_user;

授予对象权限

对象权限允许用户对特定的数据库对象执行操作。以下是一些常见的对象权限及其授予方法。

1. 授予表的对象权限

授予用户对表的SELECT、INSERT、UPDATE、DELETE权限。

-- 授予SELECT权限（允许用户查询表）
GRANT SELECT ON my_schema.my_table TO my_user;

-- 授予INSERT权限（允许用户插入数据）
GRANT INSERT ON my_schema.my_table TO my_user;

-- 授予UPDATE权限（允许用户更新数据）
GRANT UPDATE ON my_schema.my_table TO my_user;

-- 授予DELETE权限（允许用户删除数据）
GRANT DELETE ON my_schema.my_table TO my_user;

2. 授予视图的对象权限

授予用户对视图的SELECT权限。

-- 授予SELECT权限（允许用户查询视图）
GRANT SELECT ON my_schema.my_view TO my_user;

3. 授予序列的对象权限

授予用户对序列的SELECT和ALTER权限。

-- 授予SELECT权限（允许用户查询序列的当前值）
GRANT SELECT ON my_schema.my_sequence TO my_user;

-- 授予ALTER权限（允许用户修改序列的属性）
GRANT ALTER ON my_schema.my_sequence TO my_user;

授予角色

角色是权限的集合，可以将多个权限分配给一个角色，然后将角色授予用户。这样可以简化权限管理。

1. 创建角色

首先，创建一个角色。

-- 创建角色
CREATE ROLE my_role;

2. 为角色分配权限

将所需的系统权限和对象权限分配给角色。

-- 分配系统权限给角色
GRANT CREATE SESSION, CREATE TABLE, CREATE VIEW TO my_role;

-- 分配对象权限给角色
GRANT SELECT, INSERT, UPDATE, DELETE ON my_schema.my_table TO my_role;

3. 将角色授予用户

将创建的角色授予用户。

-- 将角色授予用户
GRANT my_role TO my_user;

示例脚本

以下是一个完整的示例脚本，展示如何授予权限和角色。

-- 连接到数据库
-- sqlplus sys as sysdba

-- 创建用户
CREATE USER my_user 
IDENTIFIED BY my_password 
DEFAULT TABLESPACE users 
TEMPORARY TABLESPACE temp;

-- 创建角色
CREATE ROLE my_role;

-- 分配系统权限给角色
GRANT CREATE SESSION, CREATE TABLE, CREATE VIEW TO my_role;

-- 分配对象权限给角色
GRANT SELECT, INSERT, UPDATE, DELETE ON my_schema.my_table TO my_role;

-- 将角色授予用户
GRANT my_role TO my_user;

-- 直接授予系统权限给用户
GRANT CREATE PROCEDURE TO my_user;

-- 直接授予对象权限给用户
GRANT SELECT, INSERT ON my_schema.my_other_table TO my_user;

-- 确认用户和角色的权限
SELECT * FROM dba_sys_privs WHERE grantee = 'MY_USER';
SELECT * FROM dba_tab_privs WHERE grantee = 'MY_USER';
SELECT * FROM dba_role_privs WHERE grantee = 'MY_USER';

验证权限

为了验证新授予的权限是否生效，可以使用新用户的凭据连接到数据库并执行一些操作。

-- 使用新用户连接到数据库
sqlplus my_user/my_password@your_database

-- 创建一个表
CREATE TABLE test_table (id NUMBER, name VARCHAR2(50));

-- 插入数据
INSERT INTO test_table (id, name) VALUES (1, 'Test Name');

-- 查询数据
SELECT * FROM test_table;

-- 删除表
DROP TABLE test_table;

-- 查询具有SELECT权限的表
SELECT * FROM my_schema.my_table;

总结

授予权限是Oracle数据库管理中的一个关键操作。通过上述步骤和代码示例，你可以系统地授予用户所需的系统权限和对象权限，确保用户能够执行所需的数据库操作。定期审查和管理用户权限，可以确保数据库系统的安全性和高效运行。