CSDN话题挑战赛第2期
参赛话题:学习笔记
Oracle基础知识整理:C站下载链接
文章目录
10 数据库管理员
10.13 管理权限和角色
·介绍
这一部分我们主要看看oracle如何管理权限和角色,权限和角色的区别在那里。
当刚刚建立用户时,用户没有任何权限,也不能执行任何操作。如果要执行某种特定的数据库操作,则必须为其授予系统的权限;如果用户要访问其它方案的对象,则必须为其授予对象的权限,为了简化权限的管理,可以使用角色。
·权限
权限:是指执行特定类型sql命令或是访问其他方案对象的权利,包括系统权限和对象权限两种
权限分为:系统权限和对象权限
系统权限:大概140个
什么是系统(对象)权限
系统(对象)权限有哪些
如何赋给系统(对象)权限
10.13.1 管理权限和角色–系统权限
·系统权限介绍
系统权限是指执行特定类型sql命令的权利。它用于控制用户可以执行的一个或是一组数据库操作。比如当用户具有create table权限时,可以在其它方案中建表。当用户具有create any table权限时,可以在任何方案中建表。oracle提供了100多种系统权限。
常用的有:
create session
连接数据库
create table
建表
create view
建视图
create public synonym
建同义词
create procedure
建过程、函数、包
create trigger
建触发器
create cluster
建筑
·显示系统权限
oracle提供了100多种系统权限,而且oracle的版本越高,提供的系统权限就越多,我们可以查询数据字典视图system.privilege.map可以显示所有系统权限。
select * from system_privilege.map order by name;
·授予系统权限
一般情况,授予系统权限是由dba完成的,如果用其他用户来授予系统权限,则要求该用户必须具有grant any privilege的系统权限。在授予系统权限时,可以带有 with admin option选项,这样,被授予权限的用户或是角色还可以将该系统权限授予其它的用户或是角色。
举例说明:
1.创建两个用户ken ,tom 初始阶段他们没有任何权限,如果登录就会给出错误的信息
create user ken identified by ken
2.给用户ken授权
grant create session,create table to ken with admin option;
grant create view to ken
3.给用户tom授权
我们可以通过ken给tom授权,因为with admin option是加上的,当然也可以通过dba给tom授权,我们就用ken给tom授权;
grant create session,create table to tom;
grant create view to tom;->ok吗?[不o]
·回收系统权限
一般情况下,回收系统权限是dba来完成的,如果其它的用户来回收系统权限,要求该用户必须具有相应系统权限及转授系统权限的选项(with admin option)。回收系统权限使用revoke来完成。
当回收了系统权限后,用户就不能执行相应的操作了,但是请注意,系统权限级联回收问题?【系统权限不是级联回收】
system------------>ken ------------>tom
(create session)(create session)(create session)
用system执行如下操作:
revoke create session from ken;
?请思考,tom还能登录吗?->[可以]
10.13.2 管理权限和角色–对象权限
·对象权限介绍
指访问其它方案对象的权利,用户可以直接访问自己方案的对象。但是如果要访别的方案的对象,则必须具有对象的权限。
比如smith用户要访问scott.emp表(scott:方案,emp:表),则必须在scott.emp表上具有对象的权限。
常用的有:
alter 修改 delete 删除 select 查询
insert 添加 update 修改 index 索引
references 引用 execute 执行
alter 修改表结构 update修改表数据
·显示对象权限
通过数据字段视图可以显示用户或是角色所具有的对象权限。视图为 dba_tab_privs
conn system/manager
select distinct privilege from dba_tab_privs;
select grantor,owner,table_name,privilege from dba_tab_privs where grantee='BLAKE';
·授予对象权限
在oracle9i前,授予对象权限是由对象的所有者来完成的,如果用其他的用户来操作,则需要用户具有相应的(with grant option)权限,从oracle9i开始,dba用户(sys,system)可以将任何对象上的对象权限授予其它用户,授予对象权限是用grant命令来完成的。
对象权限可以授予用户、角色和public,在授予权限时,如果带有with grant option选项,则可以将该权限转授给其它用户。但是要注意with grant option选项不能被授予角色。
1.monkey用户要操作scott.emp表,则必须授予相应的对象权限
(1)希望monkey可以查询scott.emp的表数据,怎样操作?
grant select on emp to monkey;
select * from scott.emp;
(2)希望monkey可以修改scott.emp的表数据,怎样操作?
grant update on emp to monkey;
(3)希望monkey可以删除scott.emp的表数据,怎样操作?
grant delete on emp to monkey;
(4)有没有更加简单的方法,一次把所有权限赋给monkey?
grant all on emp to monkey;
2.能否对monkey访问权限更加精细控制(授予列权限)
(1)希望monkey只可以修改scott.emp的表的sal字段,怎样操作?
grant update on emp(sal) to monkey
(2)希望monkey只可查询scott.emp的表的ename,sal数据,怎样操作?
grant select on emp(ename,sal) to monkey
3.授予alter
权限
如果blake
用户要修改scott.emp
表的结构,则必须授予alter对象权限
conn scott/tigger
grant alter on emp to blake;
当然也可以用system,sys来完成这件事
4.授予execute
权限
如果用户想要执行其它方案的包/过程/函数,则须有execute
权限。
比如为了让ken可以执行包dbms.transaction
,可以授execute
权限
conn system/admin
grant execute on dbms.transaction to ken;
5.授予index
权限
如果想在别的方案的表上建立索引,则必须具有index对象权限
如为了让blake
可以在scott.emp
上建立索引,就给其index的对象权限
conn scott/tigger
grant index on scott.emp to blake with grant option
6.使用with grant option选项
该选项用于转授对象权限,但是该选项只能被授予用户,而不能授予角色
conn scott/tigger
grant select on emp to blake with grant option
conn blake/shunping
grant select on scott.emp to jones
·回收对象权限
在oracle9i中,收回对象的权限可以由对象的所有者来完成,也可以用dba用户(sys,system)来完成。
这里要说明的是:收回对象权限后,用户就不能执行相应的sql命令,但是要注意的是对象的权限是否会被级联收回?–>[已被回收]
如:
scott ---------->blake--------->jones
select on emp select on emp select on emp
conn scott/tigger@orcl
revoke select on emp from blake
10.13.3 管理权限和角色 —角色
·介绍
角色:就是相关权限的命令集合,使用角色的主要目的是为了简化权限的管理,假定有用户a,b,c为了让他们都拥有权限
(1)连接数据库
(2)在scott.emp表上select,insert,update
如果采用直接授权操作,则需要进行12次授权
·介绍
我们如果采用角色就可以简化:
首先将create session
,select on scott.emp
,insert on scott.emp
,update on scott.emp
授予角色,然后将该角色授予a,b,c用户,这样就可以三次授权搞定。
角色分为预定义和自定义角色两类:
预定义角色大概有25种
10.13.3.1 预定义角色
预定义角色是指oracle所提供的角色,每种角色都用于执行一些特定的管理任务,下面我们介绍常用的预定义角色connect``,resource
,dba
(一)connect角色
connect
角色具有一般应用开发人员需要的大部分权限,当建立了一个用户后,多数情况下,只要给用户授予connect和resource角色就够了,那么connect角色具有哪些系统权限呢?
alter session
create cluster
create database link
create session
create table
create view
create sequence
(二)resource角色
resource
角色具有应用开发人员所需要的其它权限,比如建立存储过程、触发器等。这里需要注意的是resource
角色隐含了unlimited tablespace
系统权限。
resource角色包含以下系统权限:
create cluster
create indextype
create table
create sequence
create type
create procedure
create trigger
(三)dba角色
dba
角色具有所有的系统权限,及with admin option选项,默认的dba
用户为sys
和system
他们可以将任何系统权限授予其它用户。但是要注意的是dba
角色不具备sysdba
和sysoper
的特权(启动和关闭数据库)
10.13.3.2 自定义角色
顾名思义:就是自己定义的角色,根据自己的需要来定义,一般是dba
来建立,如果用的别的用户来建立,则需要具有create role
的系统权限,在建立角色时可以指定验证方式(不验证,数据库验证等)。
(一)建立角色(不验证)
如果角色是公用的角色,可以采用不验证的方式建立角色
create role 角色名 not identified;
(二)建立角色(数据库验证)
采用这样的方式时,角色名、口令存放在数据库中。当激活该角色时,必须提供口令,在建立这种角色时,需要为其提供口令
create role 角色名 identified by shunping
10.13.3.3 角色授权
当建立角色时,角色没有任何权限,为了使得角色完成特定任务,必须为其授予相应的系统权限和对象权限。
(一)给角色授权
给角色授予权限和给用户授权没有太多区别,但是要注意,系统权限的unlimited tablespace
和对象权限的with grant option
选项是不能授予角色的。
conn system/amdin
grant create session to 角色名 with admin option
conn scott/tigger@orcl
grant select on scott.emp to 角色名
grant insert,update,delete on scott.emp to 角色名
通过上面的步骤,就给角色授权了。
(二)分配角色给某个用户
一般分配角色是由dba来完成的,如果要以其他用户身份分配角色,则要求用户必须具有grant any role
的系统权限。
conn system/admin;
grant 角色名 to blake with admin option
因为我给了with admin option选项
所以,blake可以把system分配给它的角色分配给别的用户。
10.13.3.4 删除角色
使用 drop role
,一般是dba
来执行,乳痈其他用户则要求该用户具有drop anyrole
系统权限
conn system/admin
drop role 角色名
?角色被删,那么用户是否还可以登录?
—不能继续登录
·显示角色信息
(1)显示所有角色信息
select * from dba_roles;
(2)显示角色具有的系统权限
select privilege,admin_option from role_sys_privs where role='角色名';
(3)显示角色具有的对象权限
通过查询数据字典视图dba_tab_privs可以查看角色具有的对象权限或是列的权限。
(4)显示用户具有的角色,及默认角色
当以用户的身份连接到数据库时,oracle会自动的激活默认的角色,通过查询数据字典视图dba_role_privs
可以显示某个用户具有的所有角色及当前默认的角色。
select granted_role,default_role from dba_role_privs where grantee='用户名';
·精细访问控制
是指用户可以使用函数、策略实现更加细微的安全访问控制。如果使用精细访问控制,则当在客户端发出sql语句(select
,insert
,update
,delete
)时,oracle会自动在sql语句后追加谓词(where子句),并执行新的sql语句。通过这样的控制,可以使得不同的数据库用户在访问相同表时,返回不同的数据信息,如图
用户: scott blake jones
策略 emp_access
数据库表emp
如上所示:通过策略emp_access
,用户scott,blake
,jones
在执行相同的sql语句时,可以返回不同的结果。例如,当执行select ename from emp
;时,更具实际情况可以返回不同的结果。