创建和管理角色
直接授予用户权限,管控安全当然可以,但是用户较少你还能玩得转,如果用户多呢?需要的权限种类多,涉及到的表多,咋整? 操作几万次?那你还干别的不了?
角色:一组系统权限或对象权限,可作为一个单元来授予或撤销,可以在会话中临时激活或禁用已经授予的权限.
角色不是模式对象,不属于任何人,与用户共享同一个名称空间:创建的角色不能与已有用户同名,也不能与已有角色同名.
CREATE ROLE rolename;
然后使用普通语法为角色授权,根据需要增加with admin或with grant option
预先定义的角色
oracle有至少50个预先定义的角色,应该熟悉的如下:
connect --10g后仅有create session权限.
resource --可创建数据对象(如表)和过程对象(如PL/SQL过程),还包括unlimited tablespace权限
DBA --有大多数系统权限,及多个对象权限和角色,几乎可以管理数据库的所有方面,除了启动和关闭
select_catalog_role --有针对数据字典对象的2000多个对象权限,但没有系统权限或针对用户数据的权限.
schedule_admin --有用于管理调度服务的调度程序作业所需的系统权限
还有个预定义的角色public,此角色始终授予每个用户,如果授予public某些权限,这些权限将授予所有的用户.
比如让所有用户有权查询hr.regions表:
grant select on hr.regions to public;
显示某用户被授予了什么角色:
select * from dba_role_privs
where grantee='SCOTT';
GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE
------------------------------------------------------------------------------------------------------
SCOTT RESOURCE NO YES
SCOTT CONNECT NO YES
scott没有此角色上的管理权限,因此不能将其传递给其它人.
练习,创建角色并授予用户
create role usr_role;
create role mgr_role;
为这些角色授予一些权限,并将usr_role授予mgr_role
grant create session to usr_role;
grant select on sales.t1 to usr_role;
grant usr_role to mgr_role with admin option;
grant all on sales.t1 to mgr_role;
以SYSTEM身份将mgr_role授予webapp
grant mgr_role to webapp;
以用户webapp登录,将usr_role授予accounts
grant usr_role to accounts;
直接授予用户权限,管控安全当然可以,但是用户较少你还能玩得转,如果用户多呢?需要的权限种类多,涉及到的表多,咋整? 操作几万次?那你还干别的不了?
角色:一组系统权限或对象权限,可作为一个单元来授予或撤销,可以在会话中临时激活或禁用已经授予的权限.
角色不是模式对象,不属于任何人,与用户共享同一个名称空间:创建的角色不能与已有用户同名,也不能与已有角色同名.
CREATE ROLE rolename;
然后使用普通语法为角色授权,根据需要增加with admin或with grant option
预先定义的角色
oracle有至少50个预先定义的角色,应该熟悉的如下:
connect --10g后仅有create session权限.
resource --可创建数据对象(如表)和过程对象(如PL/SQL过程),还包括unlimited tablespace权限
DBA --有大多数系统权限,及多个对象权限和角色,几乎可以管理数据库的所有方面,除了启动和关闭
select_catalog_role --有针对数据字典对象的2000多个对象权限,但没有系统权限或针对用户数据的权限.
schedule_admin --有用于管理调度服务的调度程序作业所需的系统权限
还有个预定义的角色public,此角色始终授予每个用户,如果授予public某些权限,这些权限将授予所有的用户.
比如让所有用户有权查询hr.regions表:
grant select on hr.regions to public;
显示某用户被授予了什么角色:
select * from dba_role_privs
where grantee='SCOTT';
GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE
------------------------------------------------------------------------------------------------------
SCOTT RESOURCE NO YES
SCOTT CONNECT NO YES
scott没有此角色上的管理权限,因此不能将其传递给其它人.
练习,创建角色并授予用户
create role usr_role;
create role mgr_role;
为这些角色授予一些权限,并将usr_role授予mgr_role
grant create session to usr_role;
grant select on sales.t1 to usr_role;
grant usr_role to mgr_role with admin option;
grant all on sales.t1 to mgr_role;
以SYSTEM身份将mgr_role授予webapp
grant mgr_role to webapp;
以用户webapp登录,将usr_role授予accounts
grant usr_role to accounts;
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/25025926/viewspace-1068118/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/25025926/viewspace-1068118/