OCP认证考试指南（7）：管理数据库用户（2）

最新推荐文章于 2024-07-06 13:51:47 发布

LeeLin

最新推荐文章于 2024-07-06 13:51:47 发布

阅读量780

点赞数

分类专栏： Oracle 文章标签：数据库 table session user sql insert

Oracle 专栏收录该内容

30 篇文章 0 订阅

订阅专栏

1、系统权限

Oracle 10G中常见的系统权限

权限	说明
CREATE SESSION	允许被授权者连接数据库实例。
CREATE TABLE	允许被授权者在自己的模式中创建表。
CREATE VIEW	允许被授权者在自己的模式中创建视图。
CREATE SYNONYM	允许被授权者在自己的模式中创建私有的同义词。
CREATE PUBLIC SYSNONYM	允许被授权者在SYS模式中创建同义词，数据库中所有用户都能使用这个同义词（公有同义词）。
CREATE PROCEDURE	允许被授权者在自己的模式中创建存储过程或函数。
CREATE SEQUENCE	允许被授权者在自己的模式中创建序列。
CREATE TRIGGER	允许被授权者在自己的模式中创建触发器。
CREATE USER	允许被授权者在数据库内创建另一个用户，并且在创建用户时指定口令与其他设置。
ALTER USER	允许被授权者能够修改数据库中另一个用户的用户信息，包括更改该用户的口令。
DROP ANY TABLE	允许被授权者删除数据库内任何模式中的任何表。
ALTER ANY TABLE	允许被授权者更改数据库内任何模式中的任何表。
BACKUP ANY TABLE	允许被授权者使用Export实用程序生成数据库内任何表的一个副本。
SELECT ANY TABLE	无论是否显式地授予被授权者对数据库内的任何表执行SELECT语句的权限，都允许被授权者执行上述行为。
INSERT ANY TABLE	无论是否显式地授予被授权者对数据库内的任何表执行INSERT语句的权限，都允许被授权者执行上述行为。
UPDATE ANY TABLE	无论是否显式地授予被授权者对数据库内的任何表执行UPDATE语句的权限，都允许被授权者执行上述行为。
DELETE ANY TABLE	无论是否显式地授予被授权者对数据库内的任何表执行DELETE语句的权限，都允许被授权者执行上述行为。

1.1、授予系统权限

指派系统权限的语法如下：

^?[Copy to clipboard] View Code SQL

GRANT privilege [, privilege, ...]
TO username [, username, ...]
[WITH ADMIN OPTION];

可以看到，可以同时为多个用户授予多个权限，并且，被授予的权限是用户来说是立刻可以使用的。再来复习一次原来所学的吧，呵呵。

^?[Copy to clipboard] View Code SQL

SQL> create user dandan identified by dandan1982
  2  default tablespace mydemo
  3  temporary tablespace mydemotemp
  4  quota 10M on mydemo;
 
User created.
 
SQL> grant create session, create table
  2  to dandan;
 
Grant succeeded.
 
SQL> conn dandan/dandan1982
Connected.
 
SQL> create table test (
  2  tid int,
  3  tname varchar2(20));
 
Table created.

1.2、WITH ADMIN OPTION权限

一个用户被授予某个系统权限时，授权者也可以选择允许被授权者将相同的权限授予其他用户。如果希望进行这样的操作，那么授权者可以使用WITH ADMIN OPTION授予权限。

1.3、取消系统权限

取消系统权限的REVOKE命令与授予系统权限的命令具有类似的语法：

^?[Copy to clipboard] View Code SQL

REVOKE privilege [, privilege, ...]
TO username [, username, ...];

注意：使用WITH ADMIN OPTION为某个用户授予权限，如果这个用户为其他用户授予相同的权限，无法取消授予这些用户的该权限，也可以说是不会级联取消。

1.4、确定被授予的系统权限

我们可以通过查询DBA_SYS_PRIVS和USER_SYS_PRIVS数据字典视图来了解被授予的系统权限。

^?[Copy to clipboard] View Code SQL

SQL> conn / as sysdba
Connected.
SQL> select * from dba_sys_privs
  2  where grantee = 'DANDAN';
 
SQL> conn dandan/dandan1982
Connected.
SQL> select * from user_sys_privs;

2、对象权限

2.1、授予对象权限

授予对象权限的语法：

^?[Copy to clipboard] View Code SQL

GRANT privilege [, privilege, ...] | ALL [(column[, column, ...])]
ON objectname
TO user | role | PUBLIC
[WITH ADMIN OPTION];

对象权限由对象的拥有者授予。

对象权限及其授予对象

对象权限	授予对象
SELECT	TABLE、VIEW、SEQUENCE
INSERT	TABLE、VIEW
UPDATE	TABLE、VIEW
DELETE	TABLE、VIEW
ALTER	TABLE、VIEW
INDEX	TABLE
REFERENCES	TABLE
EXECUTE	PROCEDURE、FUNCTION、PACKAGE

2.2、WITH ADMIN OPTION权限

与授予系统权限所使用的WITH ADMIN OPTION相似，如果使用WITH GRANT OPTION授予对象权限，那么就允许被授予这个权限的用户向其他用户授予该权限。

2.3、取消对象权限

取消对象权限的语法与授予对象权限的语法相似：

^?[Copy to clipboard] View Code SQL

REVOKE privilege [, privilege, ...] | ALL [(column[, column, ...])]
ON objectname
TO user | role | PUBLIC
[WITH ADMIN OPTION];

注意：如果取消某个用户的对象权限，那么对于这个用户使用WITH ADMIN OPTION授予权限的用户来说，同样还会取消这些用户的相同权限，也就是说取消授权是级联的。

2.4、确定被授予孤对象权限

通过查询数据字典能够确定为某个用户授予的对象权限或被这个用户授予的权限：

USER_TAB_PRIVS_MADE视图：某个用户授予其他用户在该用户模式对象上的对象权限。
USER_TAB_PRIVS_RECD视图：为某个用户授予的，在其他模式对象上的权限。
ALL_TAB_PRIVS_MADE视图：某个用户授予其他用户在该用户模式对象与其他模式对象上的对象权限。
ALL_TAB_PRIVS_RECD视图：为某个用户授予的，在该用户模式对象与其他模式对象上的权限。
USER_COL_PRIVS_MADE视图：某个用户授予其他用户在其模式中表上的列权限。
USER_COL_PRIVS_RECD视图：为某个用户授予的，在其他模式中表上的列权限。
ALL_COL_PRIVS_MADE视图：某个用户授予其他用户在该用户模式中表上与在其他模式中表上的列权限。
ALL_COL_PRIVS_MADE视图：为某个用户授予的，在该用户模式中表上与在其他模式中表上的列权限。

在这里，把上面的所有理论都练习一下，也验证一下这些理论的真伪。

^?[Copy to clipboard] View Code SQL

#################################################
# 连接打开数据库，准备进行操作
#################################################
$ sqlplus / as sysdba
 
SQL*Plus: Release 10.2.0.1.0 - Production on Tue Sep 23 22:00:37 2008
 
Copyright (c) 1982, 2005, Oracle.  All rights reserved.
 
Connected to an idle instance.
 
SQL> startup
ORACLE instance started.
 
Total System Global Area  264241152 bytes
Fixed Size                  1218868 bytes
Variable Size              71304908 bytes
Database Buffers          188743680 bytes
Redo Buffers                2973696 bytes
Database mounted.
Database opened.
 
#################################################
# 创建3个表空间
#################################################
 
SQL> create tablespace ats
  2  datafile '/ora02/oradata/ocp/ats.dbf' size 5M;
 
Tablespace created.
 
SQL> create tablespace bts
  2  datafile '/ora02/oradata/ocp/bts.dbf' size 5M;
 
Tablespace created.
 
SQL> create tablespace cts
  2  datafile '/ora02/oradata/ocp/cts.dbf' size 5M;
 
Tablespace created.
 
#################################################
# 创建3个用户
#################################################
 
SQL> create user a identified by a123
  2  default tablespace ats
  3  profile default;
 
User created.
 
SQL> create user b identified by b123
  2  default tablespace bts
  3  quota 5M on bts
  4  profile default;
 
User created.
 
SQL> create user c identified by c123
  2  default tablespace cts
  3  quota 5M on cts
  4  profile default;
 
User created.
 
#################################################
# 给c用户授权，给a用户授权并加上WITH ADMIN OPTION
#################################################
 
SQL> grant create session,create table to c;
 
Grant succeeded.
 
SQL> grant create session, create table to a
  2  with admin option;
 
Grant succeeded.
 
#################################################
# 分别连接a用户和c用户，可以发现，加了WITH ADMIN OPTION的效果不一样
#################################################
 
SQL> conn c/c123
Connected.
SQL> grant create session to b;
grant create session
*
ERROR at line 1:
ORA-01031: insufficient privileges
 
SQL> conn a/a123
Connected.
SQL> grant create session to b;
 
Grant succeeded.
 
#################################################
# 我自己做个测试，给b用户WITH ADMIN OPTION权限，这里可以测试出2问题
# 1、确定当a用户被取消权限时，b用户依然有权限
# 2、发现要能给别人授权，授权控制要在一个语句中，比如说CREATE SESSION不能给别人
#################################################
 
SQL> grant create table to b
  2  with admin option;
 
Grant succeeded.
 
SQL> conn / as sysdba
Connected.
SQL> revoke create session, create table from a;
 
Revoke succeeded.
 
SQL> conn b/b123
Connected.
SQL> grant create session, create table to a;
grant create session, create table
*
ERROR at line 1:
ORA-01031: insufficient privileges
 
SQL> grant create table to a;
 
Grant succeeded.
 
#################################################
# 下面是对象权限了，c用户在自己模式下建ct表，SELECT to a
#################################################
 
SQL> conn c/c123
Connected.
SQL> create table ct (
  2  cid int,
  3  cname varchar2(20));
 
Table created.
 
SQL> grant select on ct to a
  2  with grant option;
 
Grant succeeded.
 
#################################################
# 以SYSDBA身份登录后，要做的是新建用户并授权连接权限
# a用户没有CREATE SESSION权限了，在这里加上
#################################################
 
SQL> conn / as sysdba
Connected.
 
SQL> grant create session to a;
 
Grant succeeded.
 
SQL> create user d identified by d123;
 
User created.
 
SQL> grant create session to d;
 
Grant succeeded.
 
#################################################
# 以a用户登录授权给d，SELECT to d，再以a、d用户分别执行查询c.ct表的命令
#################################################
 
SQL> conn a/a123
Connected.
SQL> grant select on c.ct to d
  2  with grant option;
 
Grant succeeded.
 
SQL> select * from c.ct;
 
no rows selected
 
SQL> conn d/d123
Connected.
SQL> select * from c.ct;
 
no rows selected
 
#################################################
# c用户取消a用户的权限，同时d用户也没有权限了
#################################################
 
SQL> conn c/c123
Connected.
SQL> revoke select on ct from a;
 
Revoke succeeded.
 
SQL> conn a/a123
Connected.
SQL> select * from c.ct;
select * from c.ct
                *
ERROR at line 1:
ORA-00942: table or view does not exist
 
 
SQL> conn d/d123
Connected.
SQL> select * from c.ct;
select * from c.ct
                *
ERROR at line 1:
ORA-00942: table or view does not exist

实践出真知，光有理论没用啊，不过我们经过练习测试，发现理论都还是对的，呵。

LeeLin

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
OCP认证考试指南（7）：管理数据库用户（2）

1、系统权限Oracle 10G中常见的系统权限权限说明CREATE SESSION允许被授权者连接数据库实例。CREATE TABLE允许被授权者在自己的模式中创建表。CREATE VIEW允许被授权者在自己的模式中创建视图。CREATE SYNONYM允许被授权者在自己的模式中创建私有的同义词。
复制链接

扫一扫