当前位置:Gxlcms > mysql > Oracle权限和角色管理概述

Oracle权限和角色管理概述

时间:2021-07-01 10:21:17 帮助过:40人阅读

Object Privileges 权限可以级联收回revoke select on scott.empfrom sj;-----------通过sj再赋予其他用户的权限在此语句执行后

Oracle的权限有两种:

system privileges:用户所做的操作会对数据字典造成影响;

object privileges:用户所做的操作会对数据造成影响;

System Privilege:

大概有200多个系统权限,常用的系统权限包括:

  • CREATE SESSION
  • RESTRICTED SESSION:当数据库处于restricted状态的时候,这些用户可以进入;
  • ALTER DATABASE
  • ALTER SYSTEM
  • CREATE TABLESPACE
  • CREATE TABLE
  • GRANT ANY OBJECT PRIVILEGE
  • CREATE ANY TABLE
  • DROP ANY TABLE
  • INSERT ANY TABLE, UPDATE ANY TABLE, DELETE ANY TABLE
  • SELECT ANY TABLE
  • GRANTprivilege1,privilege2 TO username;

    grantcreate table to scott with admin option;

    connectscott/tiger;

    grantcreate table to sj;

    用户scott只能在自己的schema中建立表

    用户sj也只能在自己的schema中建立表

    如果将scott的该权限收获,sj的权限将依旧存在;

    --查看用户所拥有的权限,并且看其是否可以继续授权

    select * fromdba_sys_privs where grantee='SJ';

    授予any table权限的,任然不能操作SYS表空间中的表;

    Object Privileges

    可以将select,update,delete,insert,alter,execute等DML操作权限赋给用户,可以针对表,也可以针对表中的某些列,例:

    grantselect on scott.emp to sj;

    grant update (order_status) on scott.orders to sj;--在列这个级别分配会造出严重的系统负担;

    grant allon scott.regions to sj;

    Object Privileges 权限可以级联收回

    revoke select on scott.empfrom sj;-----------通过sj再赋予其他用户的权限在此语句执行后都将收回;

    创建和管理角色

    --查看用户所拥有的角色,并查看是否可以继续授权

    select * fromdba_role_privs where grantee='SJ';

    A role isbundle of system and/or object privileges that can be granted and revoked as aunit, and having been granted can betemporarily activated or deactivated with in a session;

    CREATE ROLE rolename;

    角色的名字不能和现有用户的用户名重复,,也不能和现有的角色名重复;

    createrole hr_junior;

    grantcreate session to hr_junior;

    grantselect on hr.regions to hr_junior

    createrole hr_senior;

    granthr_junior to hr_senior with admin option;

    grantupdate on hr.regions to hr_senior;

    createrole hr_manager;

    granthr_senior to hr_manager with admin option;

    grant allon hr.regions to hr_manager;

    和system privileges权限的收回方式一样,role的收回也是不能级联进行的;

    预先定义好的角色:

  • CONNECT:为了向后兼容,现在改为CREATE SESSION,可以创建表
  • RESOURCE:为了向后兼容,可以创建表或存储过程;并且有UNLIMITED TABLESACPE权限;
  • DBA:几乎具备所有的权限,但是不能启动和关闭数据库;
  • SELECT_CATALOG_ROLE:数据库初级管理员最好有这个,它能拥有许多object privileges的权限,但是没有system privileges的权限,也没有用户数据的权限,不能看到用户数据;
  • SCHEDULER_ADMIN:具有管理批量计划脚本的权限
  • there isalso a predefined role PUBLIC, which is always granted to every database useraccount;

    例:grant select on hr.regions topublic;------通过执行这个语句,系统中的所有用户都可以获得对这个表的select权限;

    --将一个用户的默认角色失效

    ALTER UESR sj DEFAULT ROLE NONE;--当sj用户登录的时候,它没有任何可用的角色,甚至不能登录;

    grant connect to sj --将登录角色赋给sj

    alter user sj default role connect;---将登录角色作为sj的默认角色

    SET ROLE rolename;

    CTRATEROLE rolename IDENTIFIED USING procedure_name;

    人气教程排行