oracle数据库的权限系统分为系统权限与对象权限。系统权限(database system privilege)可以让用户执行特定的命令集。例如,create table权限允许用户创建表,grant any privilege权限允许用户授予任何系统权限。对象权限(database object privilege)可以让用户能够对各个对象进行操作。例如delete 权限允许用户删除表或视图的行,select权限允许用户通过select从表、视图、序列(sequences)或快照(snapshots)中查询信息。

  每个oracle用户都有一个名字和口令,并拥有一些由其创建的表、视图和其他资源。oracle角色(role)就是一组权限(privilege)(或者是每个用户根据其状态和条件所需的访问类型)。用户可以给角色授予或赋予制定的权限,然后将角色赋给相应的用户。一个用户也可以直接给其他用户授权。
 
查看当前连接的用户 show user
oracle三种标准的角色(role):conncet、resource和dba。
1、connect role(连接角色)
临时用户,特别是那些不需要建表的用户,通常只赋予他们connect role。connect是使用oracle的简单权限,这种权限只有在对其他用户的表有访问权时,包括select、insert、update和delete等,才能变得有意义。拥有connect role的用户还能够创建表、视图、序列(sequence)、簇(cluster)、同义词(sysnonym)、会话(session)和与其他数据库的链(link)。
在oracle10g中进行如下查询:
select * from role_sys_privs where role='CONNECT';
发现角色CONNECT仅剩下CREATE SESSION权限了,这也是oracle处于安全方面的考虑。
2、resource role(资源角色)
更可靠和正式的数据库用户可以授予resource role。resource提供给用户另外的权限以创建他们自己的表、序列、过程(procedure)、触发器(trigger)、索引(index)和簇(cluster)。
3、dba role(数据库管理员角色)
dba role拥有所有的系统权限----包括无限制的空间限额和其他用户授权的能力。system由dba用户拥有。下面揭晓一些dba经常使用的典型权限。
(1)grant(授权)命令
create user user01 identified by user01;
下面对刚创建的用户user01授权,命令如下:
grant connect,resource to user01;
 
(2)revoke(撤销)权限
已授予的权限可以撤销。例如撤销(1)中的授权,命令如下:
revoke connect,resource from user01;
 
创建角色
除了上面讲的3中系统角色----connect、resource、dba,用户还可以在oracle中创建自己的role。用户创建role可以由表或系统权限或者两者的组合构成。为了创建role,用户必须具有create role系统权限。下面给出一个create role命令的实例:
create role student;
创建了一个role,用户就可以给他授权。给role授权的grant命令的语法与对用户的语法相同。给role授权时,在grant命令的to子句中要使用role的名称,如下所示:
grant select on class(表) to student;
现在,拥有student角色的所有用户都具有对class表的select权限。
 
删除角色
要删除角色,可以使用drop role命令,如下所示:
drop role student;