角色的定义
角色就是相关权限的命令集合,使用角色的主要目的就是为了简化权限的管理,方便进行权限的批量授权。
角色的划分(2种)
角色分为预定义和自定义角色两类。
一、预定义角色
预定义角色是指oracle所提供的角色,每种角色都用于执行一些特定的管理任务,常用的预定义角色有 connect,resource,dba。
1.connect角色
connect角色具有一般应用开发人员需要的大部分权限,当建立了一个用户后,多数情况下,只要给用户授予connect和resource角 色就够了,connect角色具有的系统权限如下:
alter session |
create cluster |
create database link |
create session |
create table |
create view |
create sequence |
2.resource角色
resource角色具有应用开发人员所需要的其它权限,比如建立存储过程,触发器等。这里需要注意的是resource角色隐含了unlimited tablespace系统权限。resource角色包含以下系统权限:
create cluster |
create indextype |
create table |
create sequence |
create type |
create procedure |
create trigger |
3.dba角色
dba角色具有所有的系统权限,及with admin option选项,默认的dba用户为sys和system,它们可以将任何系统权限授予其他用户。但是要注意的是dba角色不具备sysdba和 sysoper的特权(启动和关闭数据库)。
二、自定义角色
顾名思义就是自己定义的角色,根据自己的需要来定义。一般是dba来建立,如果用别的用户来建立,则需要具有create role的系统权限。在建立角色时可以指定验证方式(不验证,数据库验证等)。
1.建立角色(不验证)
如果角色是公用的角色,可以采用不验证的方式建立角色。
create role 角色名 not identified;
2.建立角色(数据库验证)
采用这样的方式时,角色名、口令存放在数据库中。当激活该角色时,必须提供口令。在建立这种角色时,需要为其提供口令。
create role 角色名 identified by 密码;
3.为角色授权
当建立角色时,角色没有任何权限,为了使得角色完成特定任务,必须为其授予相应的系统权限和对象权限。
注:给角色授予权限和给用户授权没有太多区别,但是要注意,系统权限的unlimited tablespace和对象权限的with grant option选项是不能授予角色的。
示例:
conn system/123456;
grant create session to 角色名 with admin option
conn scott/123456;
grant select on scott.emp to 角色名;
grant insert, update, delete on scott.emp to 角色名;
通过上面的步骤,就给角色授予系统权限(create session)和对象权限(scott用户下emp表的insert, update, delete)。
4.将角色分配给某个用户
一般分配角色是由dba来完成的,如果要以其它用户身份分配角色,则要求用户必须具有grant any role的系统权限。
示例:
conn system/123456;
grant 角色名 to graykey with admin option;
通过上面的步骤,将角色分配给了用户graykey,因为给了with admin option选项,所以,用户graykey可以把system分配给它的角色分配给别的用户。
5.删除角色
使用drop role,一般是dba来执行,如果其它用户则要求该用户具有drop any role系统权限。
示例:
conn system/123456;
drop role 角色名;
问题:如果角色被删除,那么被授予角色的用户是否还具有之前角色里的权限?
答案:不具有了
6.显示角色信息
-- 显示所有角色
select * from dba_roles;
-- 显示角色具有的系统权限
select privilege, admin_option from role_sys_privs where role='角色名';
-- 显示角色具有的对象权限
-- 通过查询数据字典视图dba_tab_privs可以查看角色具有的对象权限或是列的权限。
select * from dba_tab_privs;
-- 显示用户具有的角色,及默认角色
-- 当以用户的身份连接到数据库时,oracle会自动的激活默认的角色,通过查询数据字典视图dba_role_privs可以显示某个用户具有的所有角色 及当前默认的角色
select granted_role, default_role from dba_role_privs where grantee = '用户名;