http://tc.itkee.com/database/detail-1606.html
--================================
--Oracle 用戶、對象權限、系統權限
--================================
一、用戶與模式
用戶:對數據庫的訪問,需要以適當用戶身份通過驗證,並具有相關權限來完成一系列動作
SYS用戶,缺省始終創建,且未被鎖定,擁有數據字典及其關聯的所有對象
SYSTEM用戶,缺省始終創建,且未被鎖定,可以訪問數據庫內的所有對象
模式(schema):是某個用戶擁有所有對象的集合。具有創建對象權限並創建了對象的用戶稱爲擁有某個模式
注意:創建數據庫對象(視圖,表等)的任一用戶都擁有一個以該用戶名稱開頭的模式,且被視爲模式用戶
二、創建及修改用戶
條件:需要具有創建用戶的權限,如sys,system,sysdba,dba role等
語法:
CREATE USER user
IDENTIFIED {BY password | EXTERNALLY | GLOBALLY AS external name }
[DEFAULT TABLESPACE tablespace_name]
[TEMPORARY TABLESPACE tablespace_name]
[QUOTA {n {[K|M] | UNLIMITED } ON tablespace_name
QUOTA {n {[k|M] | UNLIMITED } ON tablespace_name ... ]
[PASSWORD EXPIRE]
[ACCOUNT { LOCK | UNLOCK }]
[PROFILE { profile_name | DEFAULT }]
eg:
CREATE USER robinson IDENTIFIED BY tiger;
--省略了DEFAULT TABLESPACE和TEMPORARY TABLESPACE 時,則由database_properties中對應的參數確定
SQL> SELECT property_name,property_value FROM database_properties WHERE property_name LIKE 'DEFAULT%';
PROPERTY_NAME PROPERTY_VALUE
------------------------------ --------------------------------------------------
DEFAULT_TEMP_TABLESPACE TEMP
DEFAULT_PERMANENT_TABLESPACE USERS
DEFAULT_TBS_TYPE SMALLFILE
更多關於表空間的請參考:Oracle 表空間與數據文件
1.修改用戶
修改用戶的語法同創建用戶,僅僅講關鍵字create替換爲alter,alter user可以修改除用戶名之外的任一屬性
ALTER USER robinson ACCOUNT LOCK;
2.修改密碼
DBA 可以創建用戶和修改密碼
用戶本人可以使用ALTER USER 語句修改密碼
SQL> ALTER robinson IDENTIFIED BY newpassword;
3.刪除用戶:
DROP USER username [CASCADE]
CASECADE 連同用戶創建的對象一併刪除,如果該用戶創建了對象,要加CASCADE刪除,否則刪除不掉
另外,不能刪除當前正在與ORACLE服務器相連的用戶。
4.改變用戶在表空間上的配額:
ALTER USER username QUOTA 0 ON system;
ALTER USER scott QUOTA UNLIMITED ON USERS;
ALTER USER dog QUOTA 30M ON system;
5.查看用戶表空間配額(dba_ts_quotas):
SQL> SELECT USERNAME,TABLESPACE_NAME,MAX_BYTES/1024/1024 "Max MB"
2 FROM dba_ts_quotas WHERE USERNAME='SCOTT';
USERNAME TABLESPACE_NAME Max MB
------------------------------ --------------------------
SCOTT SYSTEM 30
6.查看特定對象下用戶所擁有的對象
使用dba_objects視圖
SQL> SELECT owner,object_name, object_type FROM dba_objects WHERE owner= 'SCOTT';
三、ORACLE權限:
系統權限: 允許用戶執行特定的數據庫動作,如創建表、創建索引、連接實例等
對象權限: 允許用戶操縱一些特定的對象,如讀取視圖,可更新某些列、執行存儲過程等
1.系統權限
超過一百多種有效的權限(SELECT * FROM SYSTEM_PRIVILEGE_MAP查)
數據庫管理員具有高級權限以完成管理任務,例如:
C創建新用戶
C刪除用戶
C刪除表
C備份表
a.常用的系統權限:
CREATE SESSION 創建會話
CREATE SEQUENCE 創建序列
CREATE SYNONYM 創建同名對象
CREATE TABLE 在用戶模式中創建表
CREATE ANY TABLE 在任何模式中創建表
DROP TABLE 在用戶模式中刪除表
DROP ANY TABLE 在任何模式中刪除表
CREATE PROCEDURE 創建存儲過程
EXECUTE ANY PROCEDURE 執行任何模式的存儲過程
CREATE USER 創建用戶
DROP USER 刪除用戶
CREATE VIEW 創建視圖
b.授予用戶系統權限
GRANT privilege [, privilege...] TO user [, user| role, PUBLIC...]
[WITH ADMIN OPTION];
PUBLIC 所有用戶
WITH ADMIN OPTION 使用戶同樣具有分配權限的權利,可將此權限授予別人
SQL> GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO scott;
SQL> GRANT EXECUTE ANY PROCEDURE TO scott WITH ADMIN OPTION;
SQL> CONN scott; --scott具有WITH ADMIN OPTION,故可以將EXECUTE ANY PROCEDURE授予robinson
Enter password:
Connected.
SQL> GRANT EXECUTE ANY PROCEDURE TO robinson;
Grant succeeded.
SQL> GRANT EXECUTE ANY PROCEDURE TO PUBLIC; --將EXECUTE ANY PROCEDURE授予所有用戶
Grant succeeded.
SQL> CONN system/redhat; --使用system爲robinson授予CREATE TABLE、CREATE SESSION權限
Connected.
SQL> GRANT CREATE TABLE,CREATE SESSION TO robinson;
Grant succeeded.
c.使用系統權限
--使用robinson具有創建會話、創建表
SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES; --下面提示沒有權限在users表空間創建對象
CREATE TABLE tb1 AS SELECT * FROM USER_TABLES
*
ERROR at line 1:
ORA-01950: no privileges on tablespace 'USERS'
SQL> CONN sys as sysdba; --使用sys帳戶登陸併爲robinson在users表空間指定配額後可以創建表tb1
Enter password:
Connected.
SQL> ALTER USER robinson QUOTA 10M ON USERS;
User altered.
SQL> CONN robinson/lion;
Connected.
SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES;
Table created.
d.查看系統權限
dba_sys_privs --針對所有用戶被授予的系統權限
user_sys_privs --針對當前登陸用戶被授予的系統權限
SQL> SELECT grantee,privilege,admin_option FROM dba_sys_privs
2 WHERE grantee IN ('SCOTT','ROBINSON')
3 ORDER BY grantee;
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON CREATE SESSION NO
ROBINSON CREATE TABLE NO
ROBINSON EXECUTE ANY PROCEDURE NO
SCOTT CREATE PUBLIC SYNONYM NO
SCOTT CREATE SESSION NO
SCOTT CREATE SYNONYM NO
SCOTT CREATE TABLE NO
SCOTT CREATE USER NO
SCOTT CREATE VIEW NO
SCOTT EXECUTE ANY PROCEDURE YES
SCOTT UNLIMITED TABLESPACE NO
e.回收系統權限
REVOKE {privilege | role} FROM {user_name | role_name | PUBLIC}
--下面的示例中並沒有回收掉原來由scott授予給robisnon EXECUTE ANY PROCEDURE 的權限
SQL> REVOKE EXECUTE ANY PROCEDURE FROM scott;
Revoke succeeded.
SQL> select grantee,privilege,admin_option from dba_sys_privs
2 where grantee in ('SCOTT','ROBINSON') and privilege = 'EXECUTE ANY PROCEDURE'
3 order by grantee;
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON EXECUTE ANY PROCEDURE NO
注意:對於使用with admin option 爲某個用戶授予系統權限,那麼對於被這個用戶授予相同權限的所有
用戶來說,取消該用戶的系統權限並不會級聯取消這些用戶的相同權限
2.對象權限
不同的對象具有不同的對象權限
對象的擁有者擁有所有權限
對象的擁有者可以向外分配權限
ORACLE一共有種對象權限
對象權限 表 視圖 序列 過程
修改(alter) √ √
刪除(delete) √ √
執行(execute) √
索引(index) √
插入(insert) √ √
關聯(references) √ √
選擇(select) √ √ √
更新(update) √ √
a.對象授權
GRANT object_priv|ALL [(columns)]
ON object
TO {user|role|PUBLIC}
[WITH GRANT OPTION];
ALL:所有對象權限
PUBLIC:授給所有的用戶
WITH GRANT OPTION:允許用戶再次給其它用戶授權
b.授予系統權限與授予對象權限的語法差異:
授予對象權限時需要指定關鍵字ON,從而能夠確定權限所應用的對象。對於表和視圖可以指定特定的列來授權。
--對象授權示例
SQL> SHOW USER;
USER is "SCOTT"
SQL> GRANT SELECT ON emp TO robinson;
Grant succeeded.
SQL> GRANT UPDATE(sal,mgr) ON emp TO robinson WITH GRANT OPTION;
Grant succeeded.
--新創建一個用戶john,使用robinson賬戶授予更新scott.emp(sal,mgr)的權限
SQL> CREATE USER john IDENTIFIED BY john;
User created.
SQL> GRANT CREATE SESSION TO john;
Grant succeeded.
SQL> CONN ROBINSON/LION
Connected.
SQL> GRANT UPDATE(sal,mgr) ON scott.emp TO john; --授予scott.emp(sal,mgr)的更新權限
Grant succeeded.
SQL> UPDATE scott.emp SET sal = sal + 100 WHERE ename = 'SCOTT'; --成功更新
1 row updated.
--向數據庫中所有用戶分配權限
SQL> GRANT SELECT ON dept TO PUBLIC;
Grant succeeded.
c.查詢權限分配情況
數據字典視圖 描述
ROLE_SYS_PRIVS 角色擁有的系統權限
ROLE_TAB_PRIVS 角色擁有的對象權限
USER_TAB_PRIVS_MADE 查詢授出去的對象權限(通常是屬主自己查)
USER_TAB_PRIVS_RECD 用戶擁有的對象權限
USER_COL_PRIVS_MADE 用戶分配出去的列的對象權限
USER_COL_PRIVS_RECD 用戶擁有的關於列的對象權限
USER_SYS_PRIVS 用戶擁有的系統權限
USER_TAB_PRIVS 用戶擁有的對象權限
USER_ROLE_PRIVS 用戶擁有的角色
--查詢已授予的對象權限(即某個用戶對哪些表對哪些用戶開放了對象權限)
SQL> SELECT * FROM user_tab_privs_made; --下面是scott用戶開放的對象權限
GRANTEE TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- ------------------------ ------------------------- -------------------- --- ---
PUBLIC DEPT SCOTT SELECT NO NO
ROBINSON EMP SCOTT SELECT NO NO
--查詢列上開放的對象權限
SQL> SELECT * FROM user_col_privs_made;
GRANTEE TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- -------------------- --------------------- -------------- -------------------- ---
ROBINSON EMP SAL SCOTT UPDATE YES
JOHN EMP MGR ROBINSON UPDATE NO
ROBINSON EMP MGR SCOTT UPDATE YES
JOHN EMP SAL ROBINSON UPDATE NO
--查詢已接受的對象特權(即某個用戶被授予了哪些表上的哪些對象特權)
SQL> SELECT * FROM user_tab_privs_recd;
OWNER TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- -------------------- ------------------------------ -------------------- --- ---
SCOTT EMP SCOTT SELECT NO NO
--查詢用戶已接受列的對象權限
SQL> SELECT * FROM user_col_privs_recd;
OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- ------------------ ---------------- -------------------- -------------------- ---
SCOTT EMP MGR SCOTT UPDATE YES
SCOTT EMP SAL SCOTT UPDATE YES
d.收回對象權限
使用REVOKE 語句收回權限
使用WITH GRANT OPTION 子句所分配的權限同樣被收回
REVOKE {privilege [, privilege...]|ALL}
ON object
FROM {user[, user...]|role|PUBLIC}
[CASCADE CONSTRAINTS];
CASCADE CONSTRAINTS 爲處理引用完整性時需要
--收回權限示例
SQL> conn scott/tiger;
Connected.
SQL> REVOKE SELECT ON emp FROM robinson;
Revoke succeeded.
SQL> REVOKE UPDATE(sal,mgr) ON emp FROM robinson; --注意此處的提示revoke的是整個表,而非列
REVOKE UPDATE(sal,mgr) ON emp FROM robinson
*
ERROR at line 1:
ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column
SQL> REVOKE UPDATE ON emp FROM robinson;
Revoke succeeded.
--用戶robinson的update 權限被revoke,曾級聯賦予john的權限也被收回,
--如下提示表、視圖不存在,user_col_privs_recd中無記錄
SQL> CONN john/john;
Connected.
SQL> UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT';
UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT'
*
ERROR at line 1:
ORA-00942: table or view does not exist
SQL> SELECT * FROM user_col_privs_recd;
no rows selected
注意:如果取消某個用戶的對象權限,對於該用戶使用with grant option授予其它用戶相同權限來說,
將級聯刪除這些用戶權限
e.其它
檢查DBA權限的用戶
select * from dba_role_privs where granted_role='DBA';
查看用戶具有的系統權限:
SELECT * FROM session_privs;
四、總結
1.使用create user語句創建用戶,alter user語句修改用戶,其語法大致相同
drop user username [CASCADE] 會刪除用戶所擁有的所有對象及數據
2.系統權限允許用戶在數據庫中執行特定的操作,如執行DDL語句。
with admin option 使得該用戶具有將自身獲得的權限授予其它用戶的功能
但收回系統權限時,不會從其它帳戶級聯取消曾被授予的相同權限
3.對象權限允許用戶對數據庫對象執行特定的操作,如執行DML語句。
with grant option 使得該用戶具有將自身獲得的對象權限授予其它用戶的功能
但收回對象權限時,會從其它帳戶級聯取消曾被授予的相同權限
4.系統權限與對象權限授予時的語法差異爲對象權限使用了ON object_name 子句
5. PUBLIC 爲所有的用戶
6. ALL:對象權限中的所有對象權限
沒有留言:
張貼留言