数据库实验-实验二-用户权限管理

一、实验目的
1. 对ORACLE数据库系统的用户权限管理有感性认识。
2. 事务是由用户定义的一个数据库的操作序列，这些操作要么全做，要么全不做，是一个不可分割的工作单位。 Oracle数据库使用事务机制来确保数据的一致性，数据库的事务机制是发生在第一个SQL语句执行时，结束于COMMIT或ROLLBACK命令执行时。只有一个事务执行完成后，另一个可执行的SQL语句才能执行。SQL执行时，所有的数据改变都是暂时的，只有结束事务的时候，才会真正写入数据库。通过本实验，对事务管理有感性认识。

二、实验原理
Oracle 权限设置
一、权限分类：
系统权限：
系统规定用户使用数据库的权限。（系统权限是对用户而言)。
实体权限：
某种权限用户对其它用户的表或视图的存取权限（针对表或视图而言）。

二、系统权限管理：
1、系统权限分类：
DBA：拥有全部特权，是系统最高权限，只有DBA才可以创建数据库结构。
RESOURCE：拥有Resource权限的用户只可以创建实体，不可以创建数据库结构。
CONNECT：拥有Connect权限的用户只可以登录Oracle，不可以创建实体，不可以创建数据库结构。
对于普通用户：授予connect, resource权限。
对于DBA管理用户：授予connect，resource, dba权限。

2、系统权限授权命令：
系统权限只能由DBA用户授出：sys, system（最开始只能是这两个用户）
授权命令：grant connect, resource, dba to 用户名1 [,用户名2]…;
普通用户通过授权可以具有与system相同的用户权限，但永远不能达到与sys用户相同的权限，system用户的权限也可以被回收。

例：以system用户身份连接数据库之后，执行：
create user cc identified by ccpassword ;
grant resource, connect, DBA to cc;
查询用户拥有哪里权限：
select * from dba_role_privs;
select * from dba_sys_privs;
select * from role_sys_privs;
删除用户： drop user 用户名 cascade;
//加上cascade则将用户连同其创建的东西全部删除
3、系统权限传递：
增加WITH ADMIN OPTION选项，则得到的权限可以传递。
grant connect, resource to CC with admin option; //可以传递所获权限
4、系统权限回收：系统权限只能由DBA用户回收
Revoke dba, resource from CC;
5、删除用户
drop user 用户名; //用户没有建任何实体
drop user 用户名 CASCADE; // 将用户及其所建实体全部删除
说明：当前正连接的用户不得删除。

三、实体权限管理
1、实体权限分类：
select, update, insert, alter, index, delete, all //all包括所有权限
execute //执行存储过程权限
user01:
grant select, update, insert on product to user02;
grant all on product to user02;
user02:
select * from user01.product;
// 此时user02查user_tables（连接中能显示的），不包括user01.product这个表，但如果查all_tables则可以查到，因为他可以访问。
2. 将表的操作权限授予全体用户：
grant all on product to public;
// public表示是所有的用户，这里的all权限不包括drop。
select owner, table_name from all_tables; // 用户可以查询的表
select table_name from user_tables; // 用户创建的表
select grantor, table_schema, table_name, privilege from all_tab_privs;
// 获权可以存取的表（被授权的）
select grantee, owner, table_name, privilege from user_tab_privs;
// 授出权限的表(授出的权限)
3. DBA用户可以操作全体用户的任意基表（无需授权，包括删除）：
DBA用户：
Create table stud02.product(id number(10), name varchar2(20));
drop table stud02.emp;
create table stud02.employee as select * from scott.emp;
4. 实体权限传递(with grant option)：
user01:
grant select, update on product to user02 with grant option;
// user02得到权限，并可以传递。
5. 实体权限回收：
user01:
Revoke select, update on product from user02; //传递的权限将全部丢失。

说明：如果取消某个用户的对象权限，那么对于这个用户使用WITH GRANT OPTION授予权限的用户来说，同样还会取消这些用户的相同权限，也就是说取消授权时级联的。

三、使用仪器、材料
Oracle 11g，windows10；
四、实验步骤
1、以SYSTEM身份连接到orcl数据库，创建新的用户并授权（如果原来已有这个用户，可以忽略本步骤）：
2、以用户CC的身份建立连接，并在此连接下执行后面的操作；
select * from user_role_privs;
可以看到自己的权限，有多少种权限？
3、在CC连接中：拷贝代码运行，删去旧的同名数据表（如果是新创建的用户，此步骤可以省略）：
4、在CC连接中：拷贝代码运行，建立表格及输入数据：
5、在CC连接中：确认orcl数据库中有这三个数据表，以及相应的数据
6、在CC连接中：查询用户CC的权限信息（每句单独执行）：
7、在CC连接中：查询用户创建的表
8、在CC连接中：删去数据表BR，成功吗？
再次执行：
select table_name from user_tables;
显示什么结果？
9、回收用户CC的部分权限：以SYSTEM的身份连接（可以在SQL DEVELOPER的右上角切换），在此连接中执行
Revoke dba, resource from CC;
10、以CC的身份连接数据库（可以在SQL DEVELOPER的右上角选择连接），执行：Create Table Aa(cola int);
成功吗？为什么？
11、切换为SYSTEM的连接，执行切换为SYSTEM的连接，执行
grant resource to CC;
12、切换为CC的连接，执行
select * from user_role_privs;
可以看到自己的权限，有多少种权限？
Create Table Aa(cola int);
成功吗？为什么？
13、切换为SYSTEM的连接，执行
DROP USER CC;
成功吗？为什么？
14、删除连接CC，在SYSTEM的连接中，执行
DROP USER CC;
成功吗？为什么？
怎样才能成功删除用户CC ？ 仅仅断开连接就行了吗？
为何要加Cascade ？删去后，还能以用户CC的身份连接吗？
15、在SYSTEM的连接中，重新创建用户CC和DD：查看这两个用户的权限

16、以CC和DD的身份分别建立连接，使得目前系统加上原来的SYSTEM共有三个连接（为识别方便，连接名和用户名一致）
选择CC连接，执行：
Create Table from_CC(内容 char(1));
Insert into from_cc values(‘a’);
select * from from_cc;
选择DD连接，执行：
select owner, table_name from all_tables where table_name=‘FROM_CC’;
显示什么？什么意思？
select * from from_cc;
显示什么？什么意思？
选择CC连接，执行：
grant all on from_cc to dd;
选择DD连接，执行：
select owner, table_name from all_tables where table_name=‘FROM_CC’;
显示什么？什么意思？
select * from from_cc;
显示什么？
select * from cc.from_cc;
显示什么？怎么回事？
刷新DD连接下的表，有没有“FROM_CC”这个表？
选择DD连接，执行：
Insert into cc.from_cc values(‘d’);
select * from cc.from_cc;
插入成功了吗？

17、选择CC连接，执行：
Revoke insert on FROM_CC from DD;
选择DD连接，执行：
select * from cc.from_cc;
能显示表的内容吗？
Insert into cc.from_cc values(‘y’);
select * from cc.from_cc;
插入成功了吗？
选择SYSTEM连接，执行：
Revoke dba, resource from DD;
选择DD连接，执行：
select * from cc.from_cc;
能显示表的内容吗？
Insert into cc.from_cc values(‘z’);
select * from cc.from_cc;
插入成功了吗？
选择CC连接，执行：
Revoke all on FROM_CC from DD;
select * from cc.from_cc;
选择DD连接，执行：
select * from cc.from_cc;

18、删除连接DD后，重新添加连接DD
select * from cc.from_cc;
select * from user_role_privs;
当前用户有多少种权限？
Create Table from_DD(哦 char(2));
能执行吗？
选择SYSTEM连接，执行：
grant resource to dd;
选择DD连接，执行：
Create Table from_DD(哦 char(2));
能执行吗？
删除连接DD后，重新添加连接DD