Oracle-02用户权限和角色

用户权限

1.oracle权限分类
系统权限：对数据库的操作，例如登录，创建表等权限
对象权限：对其他用户下的数据库对象的操作，例如对其他用户下表的CRUD（增删改查）操作

2.常用的权限
1）系统权限：
登录：CREATE SESSION
2）对象权限
对某个用户下某张表的CRUD操作
增：insert on 用户名.表名
删：delete on 用户名.表名
改：update on 用户名.表名
查：select on 用户名.表名
增删改查： all on 用户名.表名

3.***授权
语法：
GRANT 权限|角色 TO 用户
【with admin|grant option】

with admin option:表示被授权的用户可以将系统权限再授予其他用户
with grant option:表示被授权的用户可以将对象权限再授予其他用户

–在system用户下，对u1用户授予登录权限
grant create session to u1;

–登录u1用户
conn u1/1234; --OK

–在u1用户下，查询scott用户的emp表
select *from scott.emp; --提示没有scott.emp表，其实没有权限

–切换到scott用户，查询emp表
conn scott/123;

select *from emp; --可以查到

–在scott用户，给u1用户授予查询emp表的权限
grant select on emp to u1;

–切换到u1用户，查询scott用户的emp表
conn u1/1234;
select *from scott.emp; --可以查到

练习：
–在sys用户下，给u2授予登录权限
conn sys/123 as sysdba;
grant create session to u2;
–在sys用户下，给u2授予查询scott用户下emp表的权限
grant select on scott.emp to u2;

验证
–登录u2用户
conn u2/123;
–查询scott.emp表
select *from scott.emp;
练习2:
–1.在sys用户下，创建一个用户u4
conn sys/123 as sysdba;
create user u4 identified by 123;

–2.授予登录权限

grant create session to u4;

–3.登录到这个用户下
conn u4/123;

–4.创建u5用户
conn sys/123 as sysdba;
create user u5 identified by 123;

–5.切换到u4用户，给u5授予登录权限
conn u4/123;
grant create session to u5; --提示权限不足

使用with admin option

–6.sys用户下，重新给u4授予登录权限，并且加上with admin option允许u4给其他用户授予登录权限
conn sys/123 as sysdba;
grant create session to u4 with admin option;

–7.切换到u4用户下，给u5授权
conn u4/123;
grant create session to u5; --OK

–8.登录到u5用户
conn u5/123; --OK

4.**回收权限
语法：
REVOKE 权限 FROM 用户名;
GRANT 权限 TO 用户名;

例：

–1.sys用户下，回收u5用户的登录权限
conn sys/123 as sysdba;
revoke create session from u5;

–2.登录u5用户
conn u5/123；

角色

1.角色：权限的集合
2.角色分类
1）预定义角色：系统已经创建好的角色
***CONNECT: 具有登录权限
***RESOURCE: 具有创建部分数据库对象权限

注意，一般创建一个新用户，要给这个用户授予connect,resource角色

例：
前提：u5用户什么权限都没有，无法登录0
–sys用户下，给u5用户授予connect角色
conn sys/123 as sysdba;
grant connect to u5;
–登录u5
conn u5/123;

–在u5，创建一张表
create table t1(name char(10)); --创建了一张表t1,有一个列（字段）name
权限不足

–在sys用户下，给U5用户授予resource角色
conn sys/123 as sysdba;
grant resource to u5;

–在u5，创建一张表
create table t1(name char(10)); --OK

–回收u5的connect和resource
revoke connect,resource from u5;

–登录u5
conn u5/123; --权限不足

2）自定义角色–创建角色并授权
步骤：
a.创建角色
b.给角色授权:角色可以包含一个或多个权限
c.把角色授权给用户

创建角色：
CREATE ROLE 角色名

例1 --没有密码的角色
–前提：u5没有任何权限
–sys用户下创建一个角色r1
conn sys/123 as sysdba;
create role r1;

–给r1授权，授予登录权限，查询scott.emp表的权限

grant create session to r1; --授予登录权限
grant select on scott.emp to r1; --授予查询scott.emp表的权限

–把角色r1授给u5用户
grant r1 to u5;

–登录到u5
conn u5/123; --OK

–u5用户下，查询下scott.emp表
select *from scott.emp --OK

例2–带密码的角色
–sys用户下创建一个角色r2 ，设置密码123
conn sys/123 as sysdba;
create role r2 identified by 123;

–给角色r2，授予查询scott.emp表的权限
grant select on scott.emp to r2;

–创建用户u6，并授予connect和r2角色
create user u6 identified by 123;
grant connect,r2 to u6;

–登录u6用户，并查询scott.emp表
conn u6/123; —OK
select *from scott.emp; --提示表不存在，就是没有权限

–注意要在u6用户下，通过set role来让带密码的角色的权限生效
set role r2 identified by 123;

–查询scott.emp表
select *from scott.emp;

管理角色，登录到某用户，然后查询当前用户所拥有的角色
select *from user_role_privs;

–在u6用户，查询下u6用户所拥有的角色
select *from user_role_privs;

3.修改角色–ALTER ROLE
–修改角色密码
ALTER ROLE 角色名 identified by 新密码;
–修改角色无密码
ALTER ROLE 角色名 NOT IDENTIFIED;

例：
–sys下修改r2角色没有密码
conn sys/123 as sysdba;
alter role r2 not identified;

4.删除角色
DROP ROLE 角色名;

–删除角色r2
DROP ROLE r2;