oracle 角色赋权,Oracle权限/角色赋予的差异理解

最新推荐文章于 2023-12-01 09:11:05 发布
最新推荐文章于 2023-12-01 09:11:05 发布
阅读量364 收藏
点赞数
文章标签: oracle 角色赋权

环境:Oracle 11.2.0.4

目的:验证业务用户的权限/角色赋予的差异

现在创建两个用户jingyu2和jingyu3;

SYS@jyzhao1> create user jingyu2 identified by jingyu2 DEFAULT tablespace tbs_jingyu;

SYS@jyzhao1> create user jingyu3 identified by jingyu3 DEFAULT tablespace tbs_jingyu;

SYS@jyzhao1> grant connect, resource to jingyu2, jingyu3;

模拟jingyu2用户下有一张表T_jingyu2;jingyu3用户下有一张表T_jingyu3;

JINGYU2@jyzhao1> create table t_jingyu2 as select * from user_objects;

Table created.

JINGYU3@jyzhao1> create table t_jingyu3 as select * from user_objects;

Table created.

分别在两个用户的session下查询被赋予的角色/权限:

JINGYU2@jyzhao1>select * from session_privs;

PRIVILEGE

----------------------------------------

CREATE SESSION

UNLIMITED TABLESPACE

CREATE TABLE

CREATE CLUSTER

CREATE SEQUENCE

CREATE PROCEDURE

CREATE TRIGGER

CREATE TYPE

CREATE OPERATOR

CREATE INDEXTYPE

10 rows selected.

JINGYU2@jyzhao1>select * from session_roles;

ROLE

------------------------------

CONNECT

RESOURCE

JINGYU3用户的会话权限和会话角色查询结果一致,输出略。

可以看到赋予connect,resource这两个最常被用于应用开发的角色之后,该用户具有上述10个权限,一般基础开发就够用了。

需求: jingyu2用户访问jingyu3的表jingyu3,并创建同义词jingyu3;

显然当前的这个需求,对于目前的角色/权限是不能满足需求的:

JINGYU2@jyzhao1>select count(1) from jingyu3.t_jingyu3;

select count(1) from jingyu3.t_jingyu3

*

ERROR at line 1:

ORA-00942: table or view does not exist

JINGYU2@jyzhao1>create synonym t_jingyu3 for jingyu3.t_jingyu3;

create synonym t_jingyu3 for jingyu3.t_jingyu3

*

ERROR at line 1:

ORA-01031: insufficient privileges

一是jingyu2用户不能访问其他用户jingyu3的表,二是jingyu2用户没有创建同义词的权限。

那么为了满足需求,考虑如何解决。

解决方案一:赋予缺少的权限(推荐使用)。

方案宗旨:根据业务需求,缺什么权限赋予什么权限,精确控制。

赋予缺少的权限:

JINGYU3@jyzhao1> grant select on t_jingyu3 to jingyu2;

Grant succeeded.

SYS@jyzhao1>grant create synonym to jingyu2;

Grant succeeded.

此时赋予完权限后再次尝试,发现已经可以正常满足需求。

JINGYU2@jyzhao1>select count(1) from jingyu3.t_jingyu3;

COUNT(1)

----------

1

JINGYU2@jyzhao1>create synonym t_jingyu3 for jingyu3.t_jingyu3;

Synonym created.

JINGYU2@jyzhao1>select count(1) from t_jingyu3;

COUNT(1)

----------

1

查看此时的session权限/角色:

JINGYU2@jyzhao1>select * from session_privs;

PRIVILEGE

----------------------------------------

CREATE SESSION

UNLIMITED TABLESPACE

CREATE TABLE

CREATE CLUSTER

CREATE SYNONYM

CREATE SEQUENCE

CREATE PROCEDURE

CREATE TRIGGER

CREATE TYPE

CREATE OPERATOR

CREATE INDEXTYPE

11 rows selected.

JINGYU2@jyzhao1>select * from session_roles;

ROLE

------------------------------

CONNECT

RESOURCE

发现用户会话权限只多了一个CREATE SYNONYM权限,没有增加额外的风险。

解决方案二:赋予dba角色(不推荐)。

方案宗旨:为了操作简便,直接统一赋予DBA角色,满足一切应用潜在权限要求。

实际在很多应用场景中,尤其是开发测试环境,DBA或是开发人员往往会为了方便直接赋予高权限的dba角色,避免麻烦。当然这是不推荐的方法。

但也是一种解决方案,下面是演示实验,且在过程中还发现了一些有意思的细节。

首先回收方案一的权限赋予:

SYS@jyzhao1>revoke create synonym from jingyu2;

Revoke succeeded.

JINGYU3@jyzhao1>revoke select on t_jingyu3 from jingyu2;

Revoke succeeded.

这样又恢复了初始环境.

然后我们尝试直接赋予jingyu2用户高大上的dba角色,理应一切ok了吧。

SYS@jyzhao1>grant dba to jingyu2;

Grant succeeded.

结果让人大跌眼镜,不可以!

JINGYU2@jyzhao1>select count(1) from jingyu3.t_jingyu3;

select count(1) from jingyu3.t_jingyu3

*

ERROR at line 1:

ORA-00942: table or view does not exist

JINGYU2@jyzhao1>create synonym t_jingyu3 for jingyu3.t_jingyu3;

create synonym t_jingyu3 for jingyu3.t_jingyu3

*

ERROR at line 1:

ORA-01031: insufficient privileges

至高无上的dba权限居然解决不了跨用户访问和创建同义词?

没搞错吧?

看到这里,你是怎么想的呢?

如果这时候你去尝试重新连接一个会话,会发现是可以成功实现需求的?

那么这样看来,oracle对于权限的赋予是立即生效的,但是角色却需要重新连接会话才会生效。

到这里还不甘心?

来看看旧的会话权限:

JINGYU2@jyzhao1>select * from session_roles;

ROLE

------------------------------

CONNECT

RESOURCE

发现的确没有变化,那么有没有命令可以让旧的会话不重新连接就能够生效呢?

答案是肯定的,来看看 set role all 这条命令吧,可以在历史会话中执行,从而使得新赋予的角色生效。

JINGYU2@jyzhao1>set role all;

Role set.

JINGYU2@jyzhao1>select * from session_roles;

ROLE

------------------------------

CONNECT

RESOURCE

DBA

SELECT_CATALOG_ROLE

HS_ADMIN_SELECT_ROLE

EXECUTE_CATALOG_ROLE

HS_ADMIN_EXECUTE_ROLE

DELETE_CATALOG_ROLE

EXP_FULL_DATABASE

IMP_FULL_DATABASE

DATAPUMP_EXP_FULL_DATABASE

DATAPUMP_IMP_FULL_DATABASE

GATHER_SYSTEM_STATISTICS

SCHEDULER_ADMIN

WM_ADMIN_ROLE

JAVA_ADMIN

JAVA_DEPLOY

XDBADMIN

XDB_SET_INVOKER

OLAP_XS_ADMIN

OLAP_DBA

21 rows selected.

另外,可以看到只赋予了DBA的角色,却额外包含了很多角色,如果此时查下权限会发现:

JINGYU2@jyzhao1>select * from session_privs;

PRIVILEGE

----------------------------------------

ALTER SYSTEM

AUDIT SYSTEM

CREATE SESSION

ALTER SESSION

RESTRICTED SESSION

CREATE TABLESPACE

ALTER TABLESPACE

MANAGE TABLESPACE

DROP TABLESPACE

UNLIMITED TABLESPACE

CREATE USER

BECOME USER

ALTER USER

DROP USER

CREATE ROLLBACK SEGMENT

ALTER ROLLBACK SEGMENT

DROP ROLLBACK SEGMENT

CREATE TABLE

CREATE ANY TABLE

ALTER ANY TABLE

BACKUP ANY TABLE

DROP ANY TABLE

LOCK ANY TABLE

COMMENT ANY TABLE

SELECT ANY TABLE

INSERT ANY TABLE

UPDATE ANY TABLE

DELETE ANY TABLE

CREATE CLUSTER

CREATE ANY CLUSTER

ALTER ANY CLUSTER

DROP ANY CLUSTER

CREATE ANY INDEX

ALTER ANY INDEX

DROP ANY INDEX

CREATE SYNONYM

CREATE ANY SYNONYM

DROP ANY SYNONYM

CREATE PUBLIC SYNONYM

DROP PUBLIC SYNONYM

CREATE VIEW

CREATE ANY VIEW

DROP ANY VIEW

CREATE SEQUENCE

CREATE ANY SEQUENCE

ALTER ANY SEQUENCE

DROP ANY SEQUENCE

PRIVILEGE

----------------------------------------

SELECT ANY SEQUENCE

CREATE DATABASE LINK

CREATE PUBLIC DATABASE LINK

DROP PUBLIC DATABASE LINK

CREATE ROLE

DROP ANY ROLE

GRANT ANY ROLE

ALTER ANY ROLE

AUDIT ANY

ALTER DATABASE

FORCE TRANSACTION

FORCE ANY TRANSACTION

CREATE PROCEDURE

CREATE ANY PROCEDURE

ALTER ANY PROCEDURE

DROP ANY PROCEDURE

EXECUTE ANY PROCEDURE

CREATE TRIGGER

CREATE ANY TRIGGER

ALTER ANY TRIGGER

DROP ANY TRIGGER

CREATE PROFILE

ALTER PROFILE

DROP PROFILE

ALTER RESOURCE COST

ANALYZE ANY

GRANT ANY PRIVILEGE

CREATE MATERIALIZED VIEW

CREATE ANY MATERIALIZED VIEW

ALTER ANY MATERIALIZED VIEW

DROP ANY MATERIALIZED VIEW

CREATE ANY DIRECTORY

DROP ANY DIRECTORY

CREATE TYPE

CREATE ANY TYPE

ALTER ANY TYPE

DROP ANY TYPE

EXECUTE ANY TYPE

UNDER ANY TYPE

CREATE LIBRARY

CREATE ANY LIBRARY

ALTER ANY LIBRARY

DROP ANY LIBRARY

EXECUTE ANY LIBRARY

CREATE OPERATOR

CREATE ANY OPERATOR

ALTER ANY OPERATOR

PRIVILEGE

----------------------------------------

DROP ANY OPERATOR

EXECUTE ANY OPERATOR

CREATE INDEXTYPE

CREATE ANY INDEXTYPE

ALTER ANY INDEXTYPE

DROP ANY INDEXTYPE

UNDER ANY VIEW

QUERY REWRITE

GLOBAL QUERY REWRITE

EXECUTE ANY INDEXTYPE

UNDER ANY TABLE

CREATE DIMENSION

CREATE ANY DIMENSION

ALTER ANY DIMENSION

DROP ANY DIMENSION

MANAGE ANY QUEUE

ENQUEUE ANY QUEUE

DEQUEUE ANY QUEUE

CREATE ANY CONTEXT

DROP ANY CONTEXT

CREATE ANY OUTLINE

ALTER ANY OUTLINE

DROP ANY OUTLINE

ADMINISTER RESOURCE MANAGER

ADMINISTER DATABASE TRIGGER

MERGE ANY VIEW

ON COMMIT REFRESH

RESUMABLE

SELECT ANY DICTIONARY

DEBUG CONNECT SESSION

DEBUG ANY PROCEDURE

FLASHBACK ANY TABLE

GRANT ANY OBJECT PRIVILEGE

CREATE EVALUATION CONTEXT

CREATE ANY EVALUATION CONTEXT

ALTER ANY EVALUATION CONTEXT

DROP ANY EVALUATION CONTEXT

EXECUTE ANY EVALUATION CONTEXT

CREATE RULE SET

CREATE ANY RULE SET

ALTER ANY RULE SET

DROP ANY RULE SET

EXECUTE ANY RULE SET

EXPORT FULL DATABASE

IMPORT FULL DATABASE

CREATE RULE

CREATE ANY RULE

PRIVILEGE

----------------------------------------

ALTER ANY RULE

DROP ANY RULE

EXECUTE ANY RULE

ANALYZE ANY DICTIONARY

ADVISOR

CREATE JOB

CREATE ANY JOB

EXECUTE ANY PROGRAM

EXECUTE ANY CLASS

MANAGE SCHEDULER

SELECT ANY TRANSACTION

DROP ANY SQL PROFILE

ALTER ANY SQL PROFILE

ADMINISTER SQL TUNING SET

ADMINISTER ANY SQL TUNING SET

CREATE ANY SQL PROFILE

MANAGE FILE GROUP

MANAGE ANY FILE GROUP

READ ANY FILE GROUP

CHANGE NOTIFICATION

CREATE EXTERNAL JOB

CREATE ANY EDITION

DROP ANY EDITION

ALTER ANY EDITION

CREATE ASSEMBLY

CREATE ANY ASSEMBLY

ALTER ANY ASSEMBLY

DROP ANY ASSEMBLY

EXECUTE ANY ASSEMBLY

EXECUTE ASSEMBLY

CREATE MINING MODEL

CREATE ANY MINING MODEL

DROP ANY MINING MODEL

SELECT ANY MINING MODEL

ALTER ANY MINING MODEL

COMMENT ANY MINING MODEL

CREATE CUBE DIMENSION

ALTER ANY CUBE DIMENSION

CREATE ANY CUBE DIMENSION

DELETE ANY CUBE DIMENSION

DROP ANY CUBE DIMENSION

INSERT ANY CUBE DIMENSION

SELECT ANY CUBE DIMENSION

CREATE CUBE

ALTER ANY CUBE

CREATE ANY CUBE

DROP ANY CUBE

PRIVILEGE

----------------------------------------

SELECT ANY CUBE

UPDATE ANY CUBE

CREATE MEASURE FOLDER

CREATE ANY MEASURE FOLDER

DELETE ANY MEASURE FOLDER

DROP ANY MEASURE FOLDER

INSERT ANY MEASURE FOLDER

CREATE CUBE BUILD PROCESS

CREATE ANY CUBE BUILD PROCESS

DROP ANY CUBE BUILD PROCESS

UPDATE ANY CUBE BUILD PROCESS

UPDATE ANY CUBE DIMENSION

ADMINISTER SQL MANAGEMENT OBJECT

FLASHBACK ARCHIVE ADMINISTER

202 rows selected.

很可怕吧,赋予DBA角色后居然让会话的权限从原来的10个变成了202个,这也是为什么不建议赋予DBA角色的原因。因为这对于数据库来说,普通应用用户的权限这么高,安全隐患太大了。

总结:

1.赋予权限时,无论是是否是之前连接的会话,都立即生效;赋予角色时,新连接会话生效,历史连接会话如果无法重新连接,就需要使用set role all才可以生效。

2.对于数据库的应用用户而言,建议最好可以严格控制角色/权限。

一般来说,对于应用而言,connect和resource角色已经可以满足大部分应用开发的需求,若有其他特殊需求,建议单独授予,强烈不建议直接赋予具有N多权限的DBA角色。

0b1331709591d260c1c78e86d0c51c18.png

知乎版权
关注
三、 oracle 数据库适配记录
空空说技术的博客
04-23 384
Oracle数据库名(DB_NAME)、实例名(INSTANCE_NAME)、服务名(SERVICE_NAME) 概念数据库名(DB_NAME)它代表的是数据库,也就是数据库包含的所有的物理文件的总称。实例名(INSTANCE_NAME)用于响应某个数据库操作的数据库管理系统的名称。实例名是由初始化参数文件的参数instance_name决定的。如果这个参数不被指定,那么实例的名字由该用户的环境变量ORACLE_SID决定。
数据库笔试面试题库(Oracle、MySQL等)
小麦苗DBA宝典
04-22 6712
数据库笔试面试题库(Oracle、MySQL等) ⊙ 【DB笔试面试67】在Oracle中,关于表分区下列描述不正确的是() ⊙ 【DB笔试面试65】在Oracle中,哪一种表分区方式建议的分区数是2的幂(2、4、8等),以获得最平均的数据发布() ⊙ 【DB笔试面试63】要以NAME’s address is ADDR格式返回数据,以下SQL语句正确的是 ⊙ 【DB笔试面试6
oracle创建角色赋予权限
weixin_34413357的博客
11-14 439
为什么80%的码农都做不了架构师?>>> ...
oracle角色设置,Oracle用户管理角色权限设置
weixin_31437187的博客
04-03 404
Oracle用户管理角色权限设置。1.创建用户;create user cheng identified by 123 ;create user litao identified by 123 default tablespace users quota 10M on users;2.赋予新用户权限;grant create session to cheng ;grant connect ,res...
Oracle MERGE语句
chiclewu的专栏
11-03 2110
目的 使用MERGE语句从一个或多个数据源中选择数据插入到一个表或视图中。你可以指定条件,以确定是否更新或插入到目标表或视图。 MERGE语句是一种方便结合多个操作的方式,它可以让你避免多个INSERT,UPDATE和DELETE DML语句。 MERGE是一种确定性的语句,在同一个MERGE语句中不能多次更新目标表的同一行。 前提        你必须有目标表的INSERT和UP
oracle红冲,红象数据库Oracle兼容之MERGE
weixin_42462474的博客
04-06 179
Oracle 9i引入了MERGE功能,它使用户可以在一个SQL语句中对条件匹配的元组进行更新操作,无法匹配的进行插入操作。在Oracle 10g中MERGE功能得到了进一步的增强,例如,UPDATE或INSERT子句是可选的;UPDATE和INSERT子句可增加WHERE子句;ON条件中使用的常量过滤谓词来INSERT所有的行到目标表中,而不需要连接源表和目标表;UPDATE子句后面可以跟DEL...
oracle 中merge的用法
weixin_30399797的博客
09-09 76
///MERGE语句是Oracle9i新增的语法,用来合并UPDATE和INSERT语句。通过MERGE语句,根据一张表或子查询的连接条件对另外一张表进行查询,连接条件匹配上的进行UPDATE,无法匹配的执行INSERT。这个语法仅需要一次全表扫描就完成了全部工作,执行效率要高于INSERT+UPDATE。 //表1 create table subs(msid number(9), ...
oracle 19c rac 安装手册
最新发布
m0_38004228的博客
12-01 1597
oracle 19c rac 安装手册
mysql 用户看不到数据库_mysql由于权限问题看不到用户数据库
weixin_35618196的博客
01-19 3562
一、登录数据库[root@localhost ~]#mysql -u rootmysql >show databases;+--------------------+|Database|+--------------------+| information_schema || test |+--------------------+只显示这个两个数据库,看不到mysql数据库二、解决...
Oracle创建用户并赋予权限
weixin_30260399的博客
03-15 53
--第一步,备份数据--第二步,删除用户 drop user istaudit cascade; -- 第三步,Create the user 创建用户 create user ISTAUDIT identified by "" default tablespace ISTAUDIT --默认表空间 temporary tablespace ISTAUD...
oracle9 用户权限,Oracle 用户权限 Grant
weixin_29090089的博客
04-09 94
用户的权限来自系统权限和对象权限一、系统权限3个索引权限Grant CREATE ANY INDEX to User_Name;//创建索引Grant ALTER ANY INDEX to User_Name;//更改索引Grant DROP ANY INDEX to User_Name;//删除索引5个存储过程权限,CREATE PROCEDURECREATE ANY PRO...
Oracle中给表赋予权限
hay23455的博客
11-08 9101
Oracle数据库中,为表赋予权限的作用是允许或限制其他用户对该表进行特定操作的访问和修改。通过授权表权限,可以确保数据库的安全性和数据的保护。可以使用GRANT语句来给表赋予权限。在授予权限时要慎重,仅将必要的权限授予给合适的用户,并遵循数据库的安全最佳实践。如果想要撤销授权,可以使用REVOKE语句。​为要授予的权限列表,多个权限之间用逗号分隔;​为接收权限的用户或角色
oracle中的系统权限和对象权限
ezbit
11-20 2817
权限指用户操作某对象数据或者执行某种sql语句的权力,而角色指某些权限角色的集合体,角色的出现方便了权限管理工作。权限的划分从某种意义上可以分为两个级别: 用户访问或者处理数据的权力用户在使用某些资源的限制,例如cpu 在一般情况下,我们将权限分为三类: 系统权限:允许用户执行某些管理功能对象权限:允许用户对某对象进行操作角色权限或者角色的集合体,方便管理 摘录部分sy
Oracle 体系结构(23)—— Oracle权限管理
睿思达DBA
08-29 834
Oracle 体系结构(23)—— Oracle权限管理 权限是用户对一项功能的执行权力。每个 Oracle 用户都拥有一些由其创建的表、视图和其他资源。Oracle 系统提供三种权限:对象级(Object),系统级(System),角色级(Role)。 这些权限可以授予给用户、特殊用户 public 或 角色,如果授予一个权限给特殊用户 Public(用户 public 是 Oracle 预定义的,每个用户享有这个用户享有的权限),则意味作将该权限授予了该数据库的所有用户。 Oracle 角色(rol
oracle 权限管理、角色管理详解
鸽子窝下蛋
03-16 1224
oracle权限分为两种: 系统权限:系统规定用户使用数据库的权限,允许用户执行特定的数据库动作,如创建表、创建索引、连接实例等。 对象权限:某种权限可以让用户对其它用户的的表或视图等对象进行特定操作。 (一)系统权限oracle有哪些系统权限呢?可以通过查找系统权限字典(SYSTEM_PRIVILEGE_MAP)得到:SELECT NAME FROM SYSTEM_PRIVILEGE_MAP在or
Oracle数据库用户管理之二---权限授权去权(用户和角色
zsk_john的技术分享专用博客
01-05 3131
Oracle数据库用户管理之二---权限授权去权(用户和角色) 书接上回,https://blog.csdn.net/alwaysbefine/article/details/112133204,Oracle系统不管是从安装的角度还是从安装后的使用以及后期的维护这些角度来说都十分的复杂,同样的,Oracle有一套用户系统,如何认识并管理这些用户是一个比较基本也比较重要的问题。 1,Oracle数据库系统的内置用户组成: 刚安装完毕Oracle这个...
系统、角色、对象相关权限字典
cpgl40148的博客
12-20 141
以下是与角色、用户以及系统、角色、对象相关权限字典。 ----权限相关字典: ---查看角色的字典: Select * from dba_roles; ...
12c 禁用DBA权限,你怎么给业务用户授权
weixin_34406796的博客
11-07 249
看到太多客户,使用业务用户的权限都是DBA,这样设置是最简单的,也是最危险的,这里给大家介绍一种设置权限的方法。 测试环境为Oracle 12c 1.connect 角色具有的系统权限 SQL> select * from role_sys_privs where role='CONNECT'; ROLE ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值