oracle角色管理

最新推荐文章于 2024-04-23 00:22:41 发布
最新推荐文章于 2024-04-23 00:22:41 发布
阅读量5.3k 收藏 5
点赞数 2
分类专栏: # Oracle基础 # PL/SQL开发 文章标签: oracle sql insert session database manager
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IndexMan/article/details/7897658
版权

最近学习oracle角色管理,遂整理一下内容:

一 学习目标

     1.创建和修改角色

     2.控制角色的可用性

     3.移除角色

     4.使用预定义角色

     5.通过数据字典查询角色信息

二 角色的概念和特性

     1.什么是角色?

        角色就是相关权限的命令集合,使用角色的主要目的就是为了简化权限的管理。

     2.角色的特性有哪些?
       a.使用grant和revoke赋予和回收系统权限
       b.角色可以赋予给任何除自身之外的角色和用户
       c.角色可以由系统和对象权限组成
       d.可以启用和禁用角色
       e.可以指定一个密码
       f.角色不被任何用户拥有,不在任何方案内
       g.角色在数据字典中有各自的描述

三 创建、修改、分配角色

      1.语法如下:

      

   CREATEROLE role [NOTIDENTIFIED |IDENTIFIED

      {BY password | EXTERNALLY | GLOBALLY | USING package}]

  

  ALTERROLE role {NOT IDENTIFIED | IDENTIFIED

     {BY password |USING package| EXTERNALLY |GLOBALLY }};

 

  GRANT role [, role ]... 

    TO    {user|role|PUBLIC}

     [, {user|role|PUBLIC} ]...

  [WITH ADMIN OPTION] --被授予者可赋予其他用户权限


     2.例如:

       a. CREATE ROLE oe_clerk;   --普通

       b.CREATE ROLE hr_clerk IDENTIFIED BY bonus;   --指定密码

       c. CREATE ROLE hr_managerIDENTIFIED EXTERNALLY; --外部认证

     

       d. ALTER ROLE oe_clerk IDENTIFIEDBY order;

       e. ALTER ROLE hr_clerk IDENTIFIED EXTERNALLY;

       f.  ALTER ROLE hr_managerNOT IDENTIFIED;


      g. GRANT oe_clerk TOscott;

      h. GRANT hr_clerk TOhr_manager;

      i.  GRANT hr_manager TOscott WITH ADMIN OPTION;


    注:USING package适用于application role[应用角色],只有通过相关的包模块才能启用。


四 预定义角色

     

      预定义角色是指Oracle所提供的角色,每种角色都用于执行一些特定的管理任务,下面我们介绍常用的预定义角色connect,resource,dba。

     1、connect角色

           connect角色具有一般应用开发人员需要的大部分权限,当建立了一个用户后,多数情况下,只要给用户授予connect和resource角色就够了,

          那么connect角色具有以下系统权限:

          alter session

         create cluster

         create database link

         create session

         create view

         create sequence

     2、resource角色

        resource角色具有应用开发人员所需要的其他权限,比如建立存储过程、触发器等。这里需要注意的是resource角色隐含了unlimited tablespace系统权限。

        resource角色包含以下系统权限:

        create cluster

        create indextype

        create table

        create sequence

        create type

        create procedure

        create trigger

    3、dba角色

        dba角色具有所有的系统权限,及with admin option选项,默认的dba用户为sys和system他们可以将任何系统权限授予其他用户。

      但是要注意的是dba角色不具备sysdba和sysoper的特权(启动和关闭数据库)。


五  默认角色(default role)


      我们可以给某个用户分配一些角色,比如role r1,r2,r3 而其中可以将某些角色比如r1设置为default role,其他的不设置成default role,

    这样,当该用户登录时,自动具有default role中所包含的权限,其他的角色所具有的权限要通过set role 角色来获得。

    语法如下:

     ALTERUSER user DEFAULT ROLE  {role [,role]... | ALL [EXCEPT role[,role]... ] | NONE}

   

    下面我们举个例子:

     1. sys用户作为sysdba登录,创建3个角色:

       

SQL> create role r1;

角色已创建。

SQL> create role r2 identified by r2;

角色已创建。

SQL> create role r3 identified by r3;

角色已创建。


    2. 给三个角色赋予权限: 

SQL> grant create session to r1;

授权成功。

SQL> grant select on scott.emp to r2;

授权成功。

SQL> grant insert on scott.dept to r3;

授权成功。

     3.创建用户u1并将三个角色赋予: 

SQL> create user u1 identified by u1;

用户已创建。

SQL> grant r1, r2, r3 to u1;

授权成功。

    4. 在修改用户u1的默认角色前,r1,r2,r3 角色均为u1的 default role,以u1用户登录,查询、新增,都没有问题。 

C:\Documents and Settings\Administrator>sqlplus u1/u1

SQL*Plus: Release 10.2.0.1.0 - Production on 星期三 8月 22 23:21:25 2012

Copyright (c) 1982, 2005, Oracle.  All rights reserved.


连接到:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options

SQL> select * from scott.emp where rownum<3;

     EMPNO ENAME      JOB              MGR HIREDATE              SAL       COMM
---------- ---------- --------- ---------- -------------- ---------- ----------
    DEPTNO
----------
      7369 SMITH      CLERK           7902 17-12月-80            800
        20

      7499 ALLEN      SALESMAN        7698 20-2月 -81           1600        300
        30
SQL> insert into scott.dept(deptno) values(80);

已创建 1 行。

       

       5. 现在sys用户修改用户u1的default role,仅将r1作为u1的默认角色:

            alter user u3 default role r1;  --此时将覆盖原来的设置,u1 的default role =r1,仅仅有登录权限。

 

C:\Documents and Settings\Administrator>sqlplus u1/u1

SQL*Plus: Release 10.2.0.1.0 - Production on 星期三 8月 22 23:29:05 2012

Copyright (c) 1982, 2005, Oracle.  All rights reserved.


连接到:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options

SQL> select * from scott.emp where rownum<3;
select * from scott.emp where rownum<3
                    *
第 1 行出现错误:
ORA-00942: 表或视图不存在


SQL> insert into scott.dept(deptno) values(80);
insert into scott.dept(deptno) values(80)
                  *
第 1 行出现错误:
ORA-00942: 表或视图不存在

       6. 用户自己打开role权限

           set role r2 identified by r2;

           set role r3 identified by r3;

        此时插入记录没有问题,但是select 确发现不行了。

 

SQL> set role r2 identified by r2;

角色集
SQL> set role r3 identified by r3;

角色集

SQL> insert into scott.dept(deptno) values(80);

已创建 1 行。

SQL> select * from scott.emp where rownum<3;
select * from scott.emp where rownum<3
                    *
第 1 行出现错误:
ORA-00942: 表或视图不存在

        证明此时用户所属的角色仅仅是默认角色r1,和刚刚打开的角色r3,而r2被set role r3 identified by r3; 覆盖掉了。

        那要同时有r2,r3 的权限怎么办呢?

           set role r2 identified by r2,r3 identified by r3; 此时就同时查询新增了。

SQL> set role r2 identified by r2, r3 identified by r3;

角色集

SQL> select * from scott.emp where rownum<3;

     EMPNO ENAME      JOB              MGR HIREDATE              SAL       COMM     DEPTNO
---------- ---------- --------- ---------- -------------- ---------- ---------- ----------
      7369 SMITH      CLERK           7902 17-12月-80            800                    20
      7499 ALLEN      SALESMAN        7698 20-2月 -81           1600        300         30
SQL> insert into scott.dept(deptno) values(80);

已创建 1 行。

        注:不过set role 的效果是临时的,只是当前session有效,其他的session无效,当结束当前session后再登录,又只有default role 的权限了。


 六 应用角色(application role)

        

Description of Figure 20-2 follows


通过上图可以一目了然知道应用角色的位置,oracle提供安全应用角色仅允许被授权的PL/SQL包启用。下面举例说明:

       1. 以sys用户登录,创建测试用户user1,测试角色role1,验证角色的存储过程p_enable_role;

           将role1授予user1,将执行存储过程p_enable_role权限赋予user1, 将select在hr.countries上的权限赋予role;

  

SQL> create user user1 identified by user1;

用户已创建。

SQL> create role role1 identified using sys.p_enable_role1;

角色已创建。

SQL> create or replace procedure p_enable_role1 authid current_user is
  2  begin
  3  if sys_context('userenv','ip_address') ='192.168.0.166' then
  4  dbms_session.set_role('role1');
  5  else
  6  null;
  7  end if;
  8  end;
  9  /

SQL> grant execute on p_enable_role1 to user1;

授权成功。

SQL> grant select on hr.countries to role1;

授权成功。

SQL> grant role1 to user1;

授权成功。

        2. 将user1的默认role设置为none ,将createsession赋予user1这个用户 


SQL> alter user user1 default role none;

用户已更改。

SQL> grant create session to user1;

授权成功。

       3. 在192.168.0.53这个ip上测试过程

C:\Users\Administrator>sqlplus user1/user1@xu

SQL*Plus: Release 10.2.0.1.0 - Production on 星期四 8月 23 12:46:22 2012

Copyright (c) 1982, 2005, Oracle.  All rights reserved.


连接到:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options

SQL> select sys_context('userenv','ip_address') from dual;

SYS_CONTEXT('USERENV','IP_ADDRESS')
--------------------------------------------------------------------------------
192.168.0.53

SQL> select sys_context('userenv','host')from dual;

SYS_CONTEXT('USERENV','HOST')
--------------------------------------------------------------------------------
WORKGROUP\HUI

SQL> select sys_context('userenv','server_host')from dual;

SYS_CONTEXT('USERENV','SERVER_HOST')
--------------------------------------------------------------------------------
pc-20120517eoxo

SQL> select * from session_roles;

未选定行

SQL> exec sys.p_enable_role1;

PL/SQL 过程已成功完成。

SQL> select * from session_roles;

未选定行

SQL> select * from hr.dept;
select * from hr.dept
                 *
第 1 行出现错误:
ORA-00942: 表或视图不存在



       4. 在192.168.0.166上测试: 

C:\Documents and Settings\Administrator>sqlplus user1/user1@orcl

SQL*Plus: Release 10.2.0.1.0 - Production on 星期四 8月 23 10:39:29 2012

Copyright (c) 1982, 2005, Oracle.  All rights reserved.


连接到:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options

SQL> show user
USER 为 "USER1"
SQL> select sys_context('userenv','ip_address') from dual;

SYS_CONTEXT('USERENV','IP_ADDRESS')
--------------------------------------------------------------------------------
192.168.0.166

SQL> select sys_context('userenv','host') from dual;

SYS_CONTEXT('USERENV','HOST')
--------------------------------------------------------------------------------
WORKGROUP\PC-20120517EOXO

SQL> select sys_context('userenv','server_host') from dual;

SYS_CONTEXT('USERENV','SERVER_HOST')
--------------------------------------------------------------------------------
pc-20120517eoxo

SQL> select role from session_roles;

未选定行

SQL> exec sys.p_enable_role1;

PL/SQL 过程已成功完成。

SQL> select * from session_roles;

ROLE
------------------------------
ROLE1

SQL> select * from hr.countries;

CO COUNTRY_NAME                              REGION_ID
-- ---------------------------------------- ----------
AR Argentina                                         2
AU Australia                                         3
BE Belgium                                           1
BR Brazil                                            2
CA Canada                                            2
CH Switzerland                                       1
CN China                                             3
DE Germany                                           1
DK Denmark                                           1
EG Egypt                                             4
FR France                                            1
.....

已选择25行。

七  从数据字典获取角色信息

   

  例子:

 

SQL> select role, password_required
  2  from dba_roles;

ROLE                           PASSWORD
------------------------------ --------
R1                             NO
R2                             YES
R3                             YES
ROLE1                          YES
......
已选择37行。

SQL> select * from  dba_role_privs;

GRANTEE                        GRANTED_ROLE                   ADM DEF
------------------------------ ------------------------------ --- ---
SYS                            XDBADMIN                       YES YES
SYS                            IMP_FULL_DATABASE              YES YES
DBA                            OLAP_DBA                       NO  YES
DBA                            SCHEDULER_ADMIN                YES YES
SYSTEM                         AQ_ADMINISTRATOR_ROLE          YES YES
TSMSYS                         RESOURCE                       NO  YES
WMSYS                          RESOURCE                       NO  YES
WMSYS                          CONNECT                        NO  YES
SYSMAN                         MGMT_USER                      YES YES
SCOTT                          RESOURCE                       NO  YES
U1                             R2                             NO  NO

SQL> select * from  role_sys_privs where role='R1';

ROLE                           PRIVILEGE                                ADM
------------------------------ ---------------------------------------- ---
R1                             CREATE SESSION                           NO

SQL> set linesize 1000
SQL> select role, owner, table_name, privilege from role_tab_privs where role='ROLE1';

ROLE                 OWNER                TABLE_NAME                     PRIVILEGE
-------------------- -------------------- ------------------------------ --------------------
ROLE1                HR                   COUNTRIES                      SELECT




------------------------------------

Present by dylan.



罗汉爷
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Oracle】新创建用户时,授予Connect和Resouce权限报ORA-01045 错误
乙醚的专栏
10-13 1737
【问题】oracle11g,新创建用户user1时,授予Connect,Resource权限,按正常理解 Connect已具备Create Session权限,user1应该可以登陆,但是实际登录时报 ORA-01045: user USER01 lacks CREATE SESSION privilege; logon denied 【分析】   查看 ddl:      -- Crea
Oracle用户、权限、角色管理
haiross的专栏
03-16 3636
Oracle用户、权限、角色管理 前言: 系统权限是用户用于创建删除以及修改本用户内的数据库对象时用到的; 对象权限是本用户用于修改(以及创建删除)别人用户内的数据库对象时用到的; 当前用户下执行的grant语句,其所能grant的权限都是当前用户本身所拥有的权限。 总结:   1. with admin option与with grant opti
Oracle中的用户、角色、权限(三)
lcm1984的专栏
02-23 268
三、角色 所谓角色,其实可以理解为是一组权限的集合。通过使用角色,可以更简单、更容易的管理权限。 角色的创建:   SQL&gt; create role r1; --创建无密码的角色 Role created. SQL&gt; create role r2 identified by r2; --创建有密码的角色 Role created.       ...
Oracle进阶(3)——索引、权限、角色管理、分区表
最新发布
麦当当的博客
04-23 1195
Oracle 数据库中,索引是一种数据结构,用于加快数据库表的数据检索速度。索引存储着表中一个或多个列的值以及对应的行的物理地址或指针。通过使用索引,数据库可以更快地定位到符合特定条件的行,而不必扫描整个表。索引是用于加速数据存取的数据对象。合理的使用索引可以大大降低 i/o 次数,从而提高数据访问性能。索引是需要占据存储空间的,也可以理解为是一种特殊的数据。形式类似于 下图的一棵“树”,而树的节点存储的就是每条记录的物理地址,也就是我们提到的伪列(ROWID)。
oracle管理角色
Jinx
05-28 538
1.建一个角色 sql>create role role1; 2.授权给角色 sql>grant create any table,create procedure to role1; 3.授予角色给用户 sql>grant role1 to user1; 4.查看角色所包含的权限 sql>select * from role_sys_privs; 5.创建带有口令以角色(在生效带
实验二 数据库及数据库对象的创建和管理
weixin_42215736的博客
05-23 1752
--分别创建登陆账号和用户账号john,mary(注意服务器角色的设置) sp_addlogin 'John' sp_adduser 'John' --将员工表的所有权限给全部用户 grant all privileges on employee to public --创建角色r1,r2,将订单明细表所有列的select权限,price列的update权限给r1。 sp_addrole 'r...
oracle用户管理.ppt
11-12
Oracle 用户管理的主要概念包括用户、角色、权限和资源限制。用户是数据库的基本组成部分,角色是对用户的抽象,权限是用户对数据库的操作权限,资源限制是对用户使用数据库资源的限制。 二、Oracle 用户管理的方法...
Oracle9i管理工具.ppt
11-21
对于管理角色,如需以SYSDBA权限登录,需要明确指定。SQL*Plus提供了丰富的命令集,包括格式化输出、运行SQL脚本、启动和停止数据库等操作。 2. **SQL*Plus Worksheet**: 这是一个集成在企业管理器中的Web界面...
10 oracle管理权限和角色 PPT
07-29
Oracle数据库系统是企业级数据管理的重要工具,其权限和角色管理是确保数据安全性和系统稳定性不可或缺的部分。在Oracle中,权限和角色的概念是为用户提供访问控制机制,允许管理员精细地控制用户对数据库对象的访问...
Oracle Database 12c Security - 4. Foundational Elements for a Secure Database
In-Memory Computing Technology
09-01 279
Access Control, Authorization, and Privilege Access Control 指允许和禁止用户访问资源。通常与ACL结合。 Authorization 用户的安全策略与实际权限间的关联/映射。 Privilege 允许执行的操作。 Oracle数据库提供对象,系统权限,这是最主要的,还有一个intra-object权限。 系统权限是针对数据库的权限,可进一步细分为ANY 和 ADMINISTRATIVE。 ANY系统权限和特定的schema无关,可分为以下几类:
Oracle-权限管理
weixin_34326558的博客
05-24 121
Oracle权限管理一、权限分类:系统权限:系统规定用户使用数据库的权限。(系统权限是对用户而言)。实体权限:某种权限用户对其它用户的表或视图的存取权限。(是针对表或视图而言的)。二、系统权限管理:1、系统权限分类:DBA:拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构。RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构。CO...
Oracle 用户,角色,权限等
weixin_30654583的博客
10-03 518
Oracle 用户,角色,权限等 权限管理Oracle 系统的精华,不同用户登录到同一数据库中,可能看到不同数量的表,拥有不同的权限。Oracle 的权限分为系统权限和数据对象权限,共一百多种,如果单独对用户授权,很囧,有一些用户需要的权限是相同的,就把这些用户归为同一类——某种角色,通过设立一些有预定权限的角色简化和明确授权操作,角色出现的动机也就是为了简化权限管理,它是权限的集合。一般做...
角色管理
qqww120102的博客
09-13 1373
一、什么是角色? 二、创建角色 三、修改角色 四、赋予角色权限 五、赋予用户角色 六、默认角色 七、禁止和激活角色 八、角色的回收和删除 九、Oracle预定义的角色
orace 用户,权限,角色,管理
八月未央
05-16 1220
1:查看用户   select * from dba_users;   2:创建用户,并授予quota   create user bayue identified by oracle default tablespace test temporary tablespace temp1;   alter user bayue quota unlimited on users quota
十八、oracle 角色
weixin_34310785的博客
02-20 131
一、介绍角色就是相关权限的命令集合,使用角色的主要目的就是为了简化权限的管理。假定有用户a,b,c为了让他们都拥有如下权限1. 连接数据库2. 在scott.emp表上select,insert,update。如果采用直接授权操作,则需要进行12次授权。因为要进行12次授权操作,所以比较麻烦喔!怎么办?如果我们采用角色就可以简化:首先将creat session,select on scott.e...
oracle总结
小白编程
03-28 66
oracle一直不熟,工作需要,零散的学了些,记载于此。 安装,网上教程多,需要注意的是安装的时候最好激活下用户。 关于oracle数据库的基本模型:数据库,实例,监听器,这是一个从后到前的顺序,实例挂载数据库文件,然后监听器作为实例与外部通信的代理人。 通常你至少需要启动一个实例和一个监听器服务才可以正常工作 oracle基本操作 sqlplus /nolog 无用...
Oracle】创建角色
Just Do IT
12-07 710
任务:创建角色 1)创建角色sse_role,授予create session 权限 2)创建角色tblo_role,授予CREATE PROCEDURE, CREATE SEQUENCE, CREATE SYNONYM, CREATE TABLE, CREATE TRIGGER, CREATE TYPE, CREATE VIEW 权限操作过程:create role sse_role; gra

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值