用户权限
1.oracle权限分类
系统权限:对数据库的操作,例如登录,创建表等权限
对象权限:对其他用户下的数据库对象的操作,例如对其他用户下表的CRUD(增删改查)操作
2.常用的权限
1)系统权限:
登录:CREATE SESSION
2)对象权限
对某个用户下某张表的CRUD操作
增:insert on 用户名.表名
删:delete on 用户名.表名
改:update on 用户名.表名
查:select on 用户名.表名
增删改查: all on 用户名.表名
3.***授权
语法:
GRANT 权限|角色 TO 用户
【with admin|grant option】
with admin option:表示被授权的用户可以将系统权限再授予其他用户
with grant option:表示被授权的用户可以将对象权限再授予其他用户
–在system用户下,对u1用户授予登录权限
grant create session to u1;
–登录u1用户
conn u1/1234; --OK
–在u1用户下,查询scott用户的emp表
select *from scott.emp; --提示没有scott.emp表,其实没有权限
–切换到scott用户,查询emp表
conn scott/123;
select *from emp; --可以查到
–在scott用户,给u1用户授予查询emp表的权限
grant select on emp to u1;
–切换到u1用户,查询scott用户的emp表
conn u1/1234;
select *from scott.emp; --可以查到
练习:
–在sys用户下,给u2授予登录权限
conn sys/123 as sysdba;
grant create session to u2;
–在sys用户下,给u2授予查询scott用户下emp表的权限
grant select on scott.emp to u2;
验证
–登录u2用户
conn u2/123;
–查询scott.emp表
select *from scott.emp;
练习2:
–1.在sys用户下,创建一个用户u4
conn sys/123 as sysdba;
create user u4 identified by 123;
–2.授予登录权限
grant create session to u4;
–3.登录到这个用户下
conn u4/123;
–4.创建u5用户
conn sys/123 as sysdba;
create user u5 identified by 123;
–5.切换到u4用户,给u5授予登录权限
conn u4/123;
grant create session to u5; --提示权限不足
使用with admin option
–6.sys用户下,重新给u4授予登录权限,并且加上with admin option允许u4给其他用户授予登录权限
conn sys/123 as sysdba;
grant create session to u4 with admin option;
–7.切换到u4用户下,给u5授权
conn u4/123;
grant create session to u5; --OK
–8.登录到u5用户
conn u5/123; --OK
4.**回收权限
语法:
REVOKE 权限 FROM 用户名;
GRANT 权限 TO 用户名;
例:
–1.sys用户下,回收u5用户的登录权限
conn sys/123 as sysdba;
revoke create session from u5;
–2.登录u5用户
conn u5/123;
角色
1.角色:权限的集合
2.角色分类
1)预定义角色:系统已经创建好的角色
***CONNECT: 具有登录权限
***RESOURCE: 具有创建部分数据库对象权限
注意,一般创建一个新用户,要给这个用户授予connect,resource角色
例:
前提:u5用户什么权限都没有,无法登录0
–sys用户下,给u5用户授予connect角色
conn sys/123 as sysdba;
grant connect to u5;
–登录u5
conn u5/123;
–在u5,创建一张表
create table t1(name char(10)); --创建了一张表t1,有一个列(字段)name
权限不足
–在sys用户下,给U5用户授予resource角色
conn sys/123 as sysdba;
grant resource to u5;
–在u5,创建一张表
create table t1(name char(10)); --OK
–回收u5的connect和resource
revoke connect,resource from u5;
–登录u5
conn u5/123; --权限不足
2)自定义角色–创建角色并授权
步骤:
a.创建角色
b.给角色授权:角色可以包含一个或多个权限
c.把角色授权给用户
创建角色:
CREATE ROLE 角色名
例1 --没有密码的角色
–前提:u5没有任何权限
–sys用户下创建一个角色r1
conn sys/123 as sysdba;
create role r1;
–给r1授权,授予登录权限,查询scott.emp表的权限
grant create session to r1; --授予登录权限
grant select on scott.emp to r1; --授予查询scott.emp表的权限
–把角色r1授给u5用户
grant r1 to u5;
–登录到u5
conn u5/123; --OK
–u5用户下,查询下scott.emp表
select *from scott.emp --OK
例2–带密码的角色
–sys用户下创建一个角色r2 ,设置密码123
conn sys/123 as sysdba;
create role r2 identified by 123;
–给角色r2,授予查询scott.emp表的权限
grant select on scott.emp to r2;
–创建用户u6,并授予connect和r2角色
create user u6 identified by 123;
grant connect,r2 to u6;
–登录u6用户,并查询scott.emp表
conn u6/123; —OK
select *from scott.emp; --提示表不存在,就是没有权限
–注意要在u6用户下,通过set role来让带密码的角色的权限生效
set role r2 identified by 123;
–查询scott.emp表
select *from scott.emp;
管理角色,登录到某用户,然后查询当前用户所拥有的角色
select *from user_role_privs;
–在u6用户,查询下u6用户所拥有的角色
select *from user_role_privs;
3.修改角色–ALTER ROLE
–修改角色密码
ALTER ROLE 角色名 identified by 新密码;
–修改角色无密码
ALTER ROLE 角色名 NOT IDENTIFIED;
例:
–sys下修改r2角色没有密码
conn sys/123 as sysdba;
alter role r2 not identified;
4.删除角色
DROP ROLE 角色名;
–删除角色r2
DROP ROLE r2;