关于Oracle数据库的权限管理

权限管理是Oracle实现安全管理的一部分。通过授予不同用户的系统权限与对象权限，可以控制用户对 系统功能的数据库对象的操作 oracle权限可分为三种：系统权限，对象权限，角色权限

（1）、系统权限： 是指在系统级控制数据库的存取和使用的机制，即执行某种SQL语句的能力。例如启动/停止数据库，修 改数据库参数，连接数据库等权限。-----系统权限是针对于用户设置的，用户必须被授予相应的系统权 限，才能连接到数据库中进行想要的操作。

ps: 系统权限很多，此处说一下常见的权限，其余的自行百度

CREATE SESSION------连接数据库

CREATE TABLESPACE -----创建表空间

ALTER TABLESPACE ----修改表空间

DROP TABLESPACE -----删除表空间

CREATE USER ----- 创建用户

DROP USER ----- 修改用户

CREATE TABLE ----- 创建表

语句： grant 系统权限1，系统权限2 ... to 用户 --- 赋予

            revoke 系统权限1，系统全选2 ... from 用户 --- 收回

（2）、对象权限： 是指用户对数据库对象的操作权限。数据库对象包括表，视图，序列和存储过程等。Oracle的对象权限 包括ALTER【更改】，DELETE【删除】，EXECUTE【执行】，INDEX【索引】，INSERT【添加】， SELECT【查询】和UPDATE【刷新】。这些对象权限适用于不同的对象。

--- 表权限【用于赋予对其他用户【不同表空间下的】表操作的权限】

grant 权限1，权限2 on 用户B.表名 to 用户A；--- 赋予用户A户用于对于用户Bxxx表的xxx权限 revoke 权限1,权限2 on 用户B.表名 from 用户A; --- 收回用户A用于对于用户Bxxx表的xxx权限 

 --- 针对所有表 ：针对所有用户，所有表的

grant 权限1，权限2 any table to 用户名; 赋予 xxx 用户对于任意表xxx权限 revoke 权限1，权限2 any table from 用户; -- 收回 xxx 用户对于任意表xxx权限

--- 表空间权限： 新建的用户针对自己所属表空间的对象默认是无权操作的，想要操作就要使用下列指令赋 予其对于自己所属表空间对象的操作权限

grant unlimited tablespace to 用户名; --- 给用户授予全部的表空间的权限                              revoke unlimited tablespace from 用户名; --- 收回户授予全部的表空间的权限

（3）、角色权限： 角色是可以授予用户的相关权限的组，该方法使权限的授予，撤回更加容易管理 

常用角色【内置角色】：

connect ----- 登陆权限                                                                                                                    resource ----- 开发人员权限                                                                                                          dba ----- 管理员权限[全部权限]                                                                                                        语法： grant 角色名称1,角色名称2 to 用户;

（4）、权限传递 ps：这个用于给其他账户赋权的，只有允许的传递的权限才可以赋予其他账户，只有系统权限和对象权 限可以设置权限传递

权限传递有两种方式with admin option 和 with grant option，这两种方式的特点是 with admin option: 用户A可以将拥有权限赋予用户B，如果用户A的该权限被收回了，用户B是不会受到 影响，该方式用于系统权限 with grant option：用户A可以将拥有权限赋予用户B，如果用户A的该权限被收回了，用户B也会被收回， 该方式用于对象权限

with admin option:

ps：用户A可以将拥有权限赋予用户B，如果用户A的该权限被收回了，用户B是不会受到影响，该方式 用于系统权限

 1、新建两个用户                                                                                                                        create user tim1 identified by "tim1" default tablespace test_ts; create user tim2 identified by "tim2" default tablespace test_ts;                                                                                                     2、system用户赋予权限create session 给tim1用户                                                                           grant create session to tim1 with admin option;                                                                                 3、切换用户至tim1，然后tim1用户赋予权限create session 给tim2用户；                                         grant create session to tim2 ;                                                                                                             4、此时tim1和tim2都可以登录，然后system用户回收tim1的create session权限，tim1肯定不能登 录，但是tim2还是可以登录的。                                                                                                   revoke create session from tim1;

with grant option：

ps：用户A可以将拥有权限赋予用户B，如果用户A的该权限被收回了，用户B也会被收回，该方式用于 对象权限

1、scott用户赋予select权限给tim1                                                                                                      grant select on scott.emp to tim1 with grant option;                                                                    2、切换用户至tim1，然后tim1用户赋予权限给tim2用户；                                                                  grant select on scott.emp to tim2;                                                                                                3、scott用户回收tim1用户的select权限，tim1没有对scott.emp查询的权限,tim2用户也会消失掉对 scott.emp表的查询权限                                                                                                                        revoke select on scott.emp from tim1;

（5）、角色定义 角色在oracle中是一组权限的结合体，角色中可以包含很多权限。当把角色赋予用户时，用户就可以具 有角色内的所有权限。Oracle中角色分为两类

系统预定义角色

connect ----- 登陆权限                                                                                                                        resource ----- 开发人员权限                                                                                                                dba ----- 管理员权限

管理员自建角色

1、创建角色语法：create role 角色名;                                                                                          2、给角色授权：grant 权限 to 角色名;                                                                                           ps：角色与角色之间也可以互相授权。例如：grant resource,dba to r1                                       3、把权限从角色中移除：revoke 权限 from 角色名；                                                                 4、删除角色：drop role 角色名;

（6）、profile口令文件 

ps：对账户进行高级管理【有效期，密码重复次数...】

账户锁定

create profile 口令名称      limit 参数       

下面这些limit的可选参数：                                                                                                    password_life_time (天/unlimited[无限]) ---- 有效天数                                                      password_grace_time (天) --- 宽限天数                                                                        failed_login_attempts 次数 --- 输入错误多少次                                                                password_lock_time (天); --- 锁定几天

赋予用户口令

alter user 用户名 profile 口令;

用户解锁

alter user 用户名 account unlock;

用户锁定

alter user 用户名 account lock;

删除口令

drop profile  口令名称  cascade;

修改口令

alter profile 口令名 limit 口令限制代码；