有关role的一点总结!

最新推荐文章于 2022-06-21 11:31:22 发布
最新推荐文章于 2022-06-21 11:31:22 发布
阅读量327 收藏
点赞数
文章标签: 数据库

1、没有role完全可以控制权限的使用,只是不够灵活和方便,那么角色的作用到底是什么呢?这里简单的归结为2条:
1)实现权限的批量管理
2)动态控制权限
利用role实现权限的批量管理非常容易理解,这里不作更多的介绍;就role如何动态控制权限做一些简单的总结。
2、使role生效或者失效
SQL> create role rl1;
角色已创建。
--可以为role设置password,防止他人随意设置role
SQL> create role rl2 identified by rl2 ;
角色已创建。
SQL> select * from dba_role_privs where grantee='XYS';
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
XYS DBA NO YES
XYS RL1 YES YES
XYS RL2 YES YES
--可以动态的设置role使其失效,不过当把带口令的role设置为none时不要求输入password
SQL> set role none;
角色集
SQL> select * from dba_role_privs where grantee='XYS';
select * from dba_role_privs where grantee='XYS'
*
第 1 行出现错误:
ORA-00942: 表或视图不存在

SQL> create table t(id int);
create table t(id int)
*
第 1 行出现错误:
ORA-01031: 权限不足
--===================================
SQL> show user
USER 为 "XYS"
--当把带口令的role启用时需要输入口令
SQL> set role all;
set role all
*
第 1 行出现错误:
ORA-01979: 角色 'RL2' 的口令缺失或无效
--all可以和except结合使用,none不能和except结合使用
SQL> set role all except rl2;
角色集
SQL> select * from dba_role_privs where grantee='XYS';
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
XYS DBA NO YES
XYS RL1 YES YES
XYS RL2 YES YES
--但是all不能和identified by结合使用,这容易理解啊,all代表所有role,如果多个all存在password,那么显然不可能
让all和identified by来结合使用
SQL> set role all identified by rl2;
set role all identified by rl2
*
第 1 行出现错误:
ORA-00933: SQL 命令未正确结束
--如果role存在password的话只能一个一个的写了,每一个role后面都写上自己的identified by password
SQL> set role dba,rl1,rl2 identified by rl2;
角色集
--none不能和except结合使用
SQL> set role none except rl2;
set role none except rl2
*
第 1 行出现错误:
ORA-00933: SQL 命令未正确结束
SQL> set role all except rl2;
角色集
SQL> select * from session_roles;
ROLE
------------------------------
DBA
SELECT_CATALOG_ROLE
HS_ADMIN_ROLE
EXECUTE_CATALOG_ROLE
DELETE_CATALOG_ROLE
EXP_FULL_DATABASE
IMP_FULL_DATABASE
GATHER_SYSTEM_STATISTICS
SCHEDULER_ADMIN
WM_ADMIN_ROLE
RL1
ROLE
------------------------------
CONNECT
RESOURCE
已选择13行。
SQL> set role none;
角色集
--role失效之后,该session就没有了role所具有的所有权限,
但是用户xys通过其他窗口登录oracle时依然具有role的权限
SQL> select * from session_roles;
未选定行
SQL> show user
USER 为 "XYS"
SQL>
再开一个sqlplus窗口,建立其他session:
因为具有dba role,所以列出来的权限比较多
C:>sqlplus xys/manager
SQL*Plus: Release 10.2.0.1.0 - Production on 星期五 6月 27 14:11:01 2008
Copyright (c) 1982, 2005, Oracle. All rights reserved.

连接到:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SQL> select * from session_privs;
PRIVILEGE
----------------------------------------
ALTER SYSTEM
AUDIT SYSTEM
CREATE SESSION
ALTER SESSION
RESTRICTED SESSION
CREATE TABLESPACE
ALTER TABLESPACE
MANAGE TABLESPACE
...................
READ ANY FILE GROUP
CHANGE NOTIFICATION
CREATE EXTERNAL JOB
已选择161行。
SQL>
3、使user的role失效或者生效
SQL> show user
USER 为 "XYS"
SQL> create user test identified by test;
用户已创建。
SQL> grant rl1,rl2 to test;
授权成功。
SQL> select * from dba_role_privs where grantee in ('RL1','RL2');
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
RL1 CONNECT NO YES
RL1 RESOURCE NO YES
SQL> connect test/test
已连接。
--不能创建表,没有使用表空间users的权限,说明unlimited tablespace
没有随着resource被授予role RL1而被授予RL1(因为unlimited tablespace不能被授予role)
,为什么?暂时不知道。不过unlimited tablespace是一个非常特殊的系统权限,unlimited tablespace可以随着resource
被授予用户而被授予用户,当然此时TEST也没有unlimited tablespace,所以无法创建表
权限
SQL> create table t(id int);
create table t(id int)
*
第 1 行出现错误:
ORA-01950: 对表空间 'USERS' 无权限

SQL> connect xys/manager
已连接。
--不能把系统权限unlimited tablespace授予role
SQL> grant unlimited tablespace to rl2;
grant unlimited tablespace to rl2
*
第 1 行出现错误:
ORA-01931: 无法将 UNLIMITED TABLESPACE 授予角色

SQL> grant unlimited tablespace to test;
授权成功。
SQL> select * from dba_role_privs where grantee='TEST';
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
TEST RL1 NO YES
TEST RL2 NO YES
SQL> select * from dba_sys_privs where grantee='TEST';
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
TEST UNLIMITED TABLESPACE NO
SQL> show user
USER 为 "XYS"
SQL> connect test/test
已连接。
SQL> create table t(id int);
表已创建。
SQL> connect xys/manager
已连接。
SQL> alter user test default role none;
用户已更改。
SQL> connect test/test
ERROR:
ORA-01045: 用户 TEST 没有 CREATE SESSION 权限; 登录被拒绝

警告: 您不再连接到 ORACLE。
SQL> connect xys/manager
已连接。
SQL> select * from dba_role_privs where grantee='TEST';
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
TEST RL1 NO NO
TEST RL2 NO NO
--此时为什么不需要输入rl2的口令?莫非是因为rl2是xys用户创建的?
其实不是,再来看看alter user xys的default role的效果,发现
通过alter user ...default role...也不需要输入口令,这里不知道
是否是orale的漏洞还是这样设计另有其他目的,不得而知,这样看来
通过这种方法可以跨过role的password!
SQL> alter user test default role all;
用户已更改。
SQL> alter user xys default role none;
用户已更改。
SQL> alter user xys default role all;
用户已更改。
SQL> set role none;
角色集
SQL> set role all;
set role all
*
第 1 行出现错误:
ORA-01979: 角色 'RL2' 的口令缺失或无效
--通过set role all就需要输入rl2的口令,而通过alter user ...
default role all就不需要输入口令!
SQL>
SQL> select * from dba_role_privs where grantee='TEST';
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
TEST RL1 NO YES
TEST RL2
NO YES
--同样none不能和except结合使用
SQL> alter user test default role none except rl2;
alter user test default role none except rl2
*
第 1 行出现错误:
ORA-00922: 选项缺失或无效

SQL> alter user test default role none;
用户已更改。
--all可以和except结合使用
SQL> alter user test default role all except rl2;
用户已更改。
SQL> select * from dba_role_privs where grantee='TEST';
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
TEST RL1 NO YES
TEST RL2 NO NO
SQL>

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/751371/viewspace-604599/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/751371/viewspace-604599/

cnqt2015
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
CDH的Hive权限控制
weixin_43025027的博客
05-12 3388
CDH的Hive权限控制
oracle 权限控制表,Oracle 用户权限管理与常用权限数据字典列表
weixin_28829479的博客
04-02 976
用户权限管理Oracle 权限权限允许用户访问属于其它用户的对象或执行程序,ORACLE系统提供三种权限:Object 对象级、System 系统级、Role 角色级。这些权限可以授予给用户、特殊用户public或角色,如果授予一个权限给特殊用户"Public"(用户public是oracle预定义的,每个用户享有这个用户享有的权限),那么就意味作将该权限授予了该数据库的所有用户。对管理权限而言,...
springboot+vue分配角色框与分配权限框
HerryBody
08-10 1132
一、分配角色 二、分配权限
html标签role属性,data-role属性
weixin_42510278的博客
06-05 2334
以下是一段代码:默认地址:加上css样式过后本应该是如下效果:可是实际的效果确实这样的:这是怎么回事呢,html中根本没有写,为什么会出现“保存信息”这四个字呢?后来才知道是因为网页使用了jQuery Mobile 框架。加上一句代码即可:data-role=”none”。后来就去找了一下有关于data-role的文章,以下是对它的解释:“data-role”属性是HTML 5的一个新特征,通过设...
Oracle 用户,角色,权限等
weixin_30654583的博客
10-03 524
Oracle 用户,角色,权限等 权限管理是 Oracle 系统的精华,不同用户登录到同一数据库中,可能看到不同数量的表,拥有不同的权限。Oracle 的权限分为系统权限和数据对象权限,共一百多种,如果单独对用户授权,很囧,有一些用户需要的权限是相同的,就把这些用户归为同一类——某种角色,通过设立一些有预定权限的角色简化和明确授权操作,角色出现的动机也就是为了简化权限管理,它是权限的集合。一般做...
Hive大总结!!!
Biubiubiu!
03-29 4208
文章目录Hive一、Hive简介及核心概念1、Hive概述2、Hive特点2.1、优点2.2、缺点2.3、Hive使用场景3、Hive基本架构原理4、数据处理流程5、Hive 和数据库比较5.1、查询语言5.2、数据存储位置5.3、数据更新5.4、索引5.5、执行5.6、执行延迟5.7、可扩展性5.8、数据规模二、Hive安装及配置1、Hive 安装地址2、Hive 安装部署3、元数据配置3.1、...
接近8000字的Spring/SpringBoot常用注解总结!安排!
m0_67698950的博客
06-15 173
可以毫不夸张地说,这篇文章介绍的 Spring/SpringBoot 常用注解基本已经涵盖你工作中遇到的大部分常用的场景。对于每一个注解我都说了具体用法,掌握搞懂,使用 SpringBoot 来开发项目基本没啥大问题了!为什么要写这篇文章?最近看到网上有一篇关于 SpringBoot 常用注解的文章被转载的比较多,我看了文章内容之后属实觉得质量有点低,并且有点会误导没有太多实际使用经验的人(这些人又占据了大多数)。所以,自己索性花了大概 两天时间简单总结一下了。整个目录如下,内容有点多:这里先单独拎出 注解
Jenkins权限控制插件Role-based Authorization Strategy
qn0007的博客
11-08 5186
公司内部Jenkins项目太多,不同的项目组与开发测试人员要有不同项目的权限。系统自带的矩阵管理不太适合,这里使用Role-based Authorization Strategy插件,使不同的账号有不同的权限,不同的项目。本次试验的目的是:开发AB两组人员,登录自己的jenkins账号,只可以看到自己项目组的任务,并有创建,删除,修改,run的权限。1.安装Role-based Authoriza
必收藏干货!Kubernetes集群搭建超详细总结(CentOS版)
06-02 1156
学习Kubernetes的关键一步就是要学会搭建一套k8s集群。在今天的文章中作者将最近新总结的搭建技巧,无偿分享给大家!废话不多说,直接上干货! 01、系统环境准备 要安装部署Kubernetes集群,首先需要准备机器,最直接的办法可以到公有云(如阿里云等)申请几台虚拟机。而如果条件允许,拿几台本地物理服务器来组建集群自然是最好不过了。但是这些机器需要满足以下几个条件: 要求64位Linux操作系统,且内核版本要求3.10及以上,能满足安装Docker项目所需的要求; 机器之间要保持网络互通,这.
oracle中角色和用户权限,oracle用户的角色与权限管理
weixin_30216669的博客
04-02 822
oracle用户的角色与权限管理一、权限分类:系统权限:系统规定用户使用数据库的权限。(系统权限是对用户而言)。实体权限:某种权限用户对其它用户的表或视图的存取权限。(是针对表或视图而言的)。二、系统权限管理:1、系统权限分类(通过角色来进行管理):DBA: 拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构。RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据...
PostgreSQL 权限管理
分享既学习
06-21 6280
权限管理是所有数据库都绕不开的话题,PG 中使用 `角色(role)`机制来处理用户身份认证。 本篇文章介绍如何管理 PostgreSQL 中的 `角色 用户 组角色`。
orace 用户,权限,角色,管理
八月未央
05-16 1224
1:查看用户   select * from dba_users;   2:创建用户,并授予quota   create user bayue identified by oracle default tablespace test temporary tablespace temp1;   alter user bayue quota unlimited on users quota
oracle安全管理之角色管理
Linucle的专栏
01-12 990
角色管理 角色概述 所谓角色,就是一系列权限的集合。 如下图 预定义角色 预定义角色的查询 通过视图dba_roles查询当前数据库中所有的预定义角色 通过视图dba_sys_privs查询各个预定义角色所具有的系统权限 eg: SQL> select * from dba_roles; ROLE                           PASSWORD
oracle角色管理
老徐的博客只有干货
08-22 5374
最近学习oracle角色管理,遂整理一下内容: 一 学习目标      1.创建和修改角色      2.控制角色的可用性      3.移除角色      4.使用预定义角色      5.通过数据字典查询角色信息 二 角色的概念和特性      1.什么是角色?         角色就是相关权限的命令集合,使用角色的主要目的就是为了简化权限的管理。      2.角色的
角色的管理
qqww120102的博客
09-13 1380
一、什么是角色? 二、创建角色 三、修改角色 四、赋予角色权限 五、赋予用户角色 六、默认角色 七、禁止和激活角色 八、角色的回收和删除 九、Oracle预定义的角色
有关role一点总结
clt3617的博客
06-27 190
没有role完全可以控制权限的使用,只是不够灵活和方便而已,那么角色的作用到底是什么呢?简单的归结为2条:1)实现批量授权2)动态控制权限[@more@]1、角色的作用a)实现批量授权b)动态控制权限2、使role生效或者失效S...
第二章 SQL命令参考-SET ROLE
kygoal的博客
11-16 1746
SET ROLE   Sets the current role identifier of thecurrent session.   Synopsis SET [SESSION |LOCAL] ROLE rolename SET [SESSION |LOCAL] ROLE NONE RESET ROLE   Description 该命令将当前SQL会话上下文的当前角色标识
postgresql CREATE ROLE
最新发布
09-10
在PostgreSQL中,"CREATE ROLE"用于创建角色,与"CREATE USER"命令几乎完全相同。唯一的区别是"CREATE USER"创建的角色默认具有登录属性,而"CREATE ROLE"创建的角色需要单独赋予登录权限才能登录。 要创建一个角色...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值