龙空技术网

Oracle数据库用户管理之系统权限和对象权限

一山丘一只羊 265

前言:

目前兄弟们对“oracle怎么查看用户的权限”大致比较讲究,姐妹们都想要了解一些“oracle怎么查看用户的权限”的相关内容。那么小编同时在网摘上搜集了一些有关“oracle怎么查看用户的权限””的相关内容,希望咱们能喜欢,同学们快快来学习一下吧!

【关键术语】

Privileges 权限

System privileges 系统权限

Object privileges 对象权限

Grant 授予

Revoke 撤消

2.1 Oracle 权限概述2.1.1 权限的作用

权限(privilege)是指执行特定类型 SQL 命令或访问其他模式对象的权利。Oracle 使用 权限来控制用户对数据的访问以及用户所能执行的操作。通过对用户授予适当的权限,用户 能够在自己的模式或其它用户的模式中创建、删除或修改数据库对象,或者在数据库中执行 某些特定的操作。简言之,用户所具有的权限决定了他能够访问的数据和执行的操作。

权限可以通过以下两种方式授予用户:

• 直接将权限授予用户• 首先将权限授予角色,然后再将角色授予用户2.1.2 权限的分类

在 Oracle 中,权限一共可以分为两类:

• 系统权限

系统权限是在数据库级别执行某种操作,它用于控制用户可以执行的一个或一类数据库操作。

例如,创建表空间的权限就是一个系统权限。系统权限可由管理员授予,或者由可以显式授予管理权限的用户授予。共有一百多种不同的系统权限。很多系统权限都包含 ANY 子句。

• 对象权限

对象权限是针对某个特定的模式对象(如表、视图、序列、过程、函数或程序包)执行各种操作的权力。用户只能访问他们自己拥有的对象。对象权限可以由对象的所有者或管理员授予,也可以由显式授予了对象授予。

2.2 系统权限管理2.2.1 系统权限分类

在 Oracle 中总共包含超过 100 种不同的系统权限,每种系统权限都为用户提供了执行 某一种或某一类型特定的数据库操作的能力。

系统权限可以分为三类:

• 针对系统级别或者数据库级别的操作,如 CREATE SESSION 系统权限允许用户连接到数据库,CREATE TABLESPACE 系统权限允许用户创建表空间。• 允许用户在自己模式内的对象管理,如 CREATE TABLE 系统权限,允许用户在自己模式内创建表。• 允许用户在任何模式内的对象管理,如 CREATE ANY TABLE 系统权限,允许用户在任何模式内创建表。2.2.2 常用系统权限

表 1-1 列出了最常用的一些系统权限。

注意:

● 在系统权限中没有 CREATE INDEX 权限,因为 CREATE TABLE 权限中已经包含了CREATE INDEX 权限;

● 在 CREATE TABLE, CREATE PROCEDURE 和 CREATE CLUSTER 权限中已经包含了删除这些对象的权限;

● UNLIMITED TABLESPACE 系统权限不能授予角色;

● 要使用 truncate 命令删减其他模式的表,用户必须具有 DROP ANY TABLE 系统权限;

2.2.3 系统权限的授予和回收1.系统权限授予

系统权限可以被授予用户、角色或 PUBLIC 公共用户组。PUBLIC 是一个在创建数据库时自动建立的用户组,如果将权限授予 PUBLIC 用户组,数据库的任何用户都将具有该权限。

使用 GRANT 语句可以授予系统权限,GRANT 命令由 DBA 来完成的。如果要以其他用户身份授予系统权限,那么要求用户必须具有 GRANT ANY PRIVILEGE 系统权限或用户在得到该权限时具有转授系统权限的选项 WITH ADMIN OPTION。

GRANT 语句的语法如下: GRANT {system_privilege } [, {system_privilege } ]... TO {user | role | PUBLIC} [, {user | role | PUBLIC} ]... [WITH ADMIN OPTION]

其中参数 WITH ADMIN OPTION 表示被授权的用户可以把该系统权限再授给其他用 户。

【实例 1-1】授予用户 aaron 具有创建表和视图的权限。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)授予权限 SOL>GRANT CREATE TABLE,CREATE VIEW to aaron; 授权成功。 3)使用权限创建表 SOL>connect aaron/soccer 已连接。 SOL>create table t1(cola int, colb char(3)); 表已创建。 SOL>INSERT INTO t1 VALUES(1,’A’); 已创建 1 行。 SOL>COMMIT; 提交完成。 

在将系统权限 CREATE TABLE 授予用户 aaron 之后,该用户就可以执行建表操作了。

【实例1-2】授予 aaron 用户创建存储过程的权限

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)授予权限 SOL>GRANT CREATE PROCEDURE to aaron; 授权成功。 

Oracle 中有两个特殊权限:SYSDBA 和 SYSOPER,具有该权限的用户能执行数据库维 护操作,例如启动和关闭 Oracle Server、建立数据库、备份和恢复等任务。

当将初始化参数 REMOTE_LOGIN_PASSWORDFILE 设置为 EXCLUSIVE 时,你还可 以将 SYSDBA 和 SYSOPER 特权授予其它用户,这样该用户就会在口令文件中出现,并能 进行启动和关闭实例等数据库维护操作。例如:

C:\>sqlplus /nolog SOL>CONN / AS SYSDBA 已连接。SOL>GRANT SYSDBA to aaron; 授权成功。 SOL>CONN aaron/soccer AS SYSDBA; 已连接。 SOL>SHUTDOWN 

需要注意,有特殊权限 SYSDBA 或 SYSOPER 的用户在登录时必须带有 AS SYSDBA或 AS SYSOPER 子句。用户使用 SYSOPER 可执行基本操作任务,但不能查看用户数据。

权限 SYSDBA 自动包含了 SYSOPER 的所有权限,另外还具有建立数据库以及执行不 完全恢复的权限,而 SYSOPER 则不能执行这两项操作。

表 1-2 给出了 SYSDBA 和 SYSOPER 的区别。

CREATE ANY DIRECTORY:使用 Oracle 数据库可以让开发人员在 PL/SQL 内调用

外部代码(例如 C 库)。作为一种安全措施,代码所在的操作系统目录必须链接到

一个虚拟 Oracle 目录对象。使用 CREATE ANY DIRECTORY 权限时,有可能会调用

不安全的代码对象。

用户使用 CREATE ANY DIRECTORY 权限可以在 Oracle 软件所有者能够访问的任何

目录中创建目录对象(具有读写访问权限)。这意味着用户可以访问那些目录中的外部过程。用户可以尝试直接读写任何数据库文件,如数据文件、重做日志和审计

日志。一定要确保在组织中采用了安全策略,以防止误用类似这种作用很强的权限。

2.系统权限回收

回收系统权限是使用 REVOKE 命令来完成的。在收回了用户所具有的系统权限之后,用户将不能执行该系统权限所对应的SQL命令。收回系统权限一般是由DBA用户来完成的,但如果要以其他用户身份收回系统权限,那么要求用户必须具有 GRANT ANY PRIVILEGE系统权限或转授系统权限的选项 WITH ADMIN OPTION。

撤销系统权限时不会产生级联影响,无论是否指定了 ADMIN OPTION。

【实例 1-3】回收用户 aaron 的创建表的权限。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)回收权限 SOL>REVOKE CREATE TABLE FROM aaron; 撤销成功。 

当回收用户 aaron 的 CREATE TABLE 系统权限之后,该用户将不能创建表了。

2.2.4 系统权限的传递

在使用 GRANT 授权时可以带有 WITH ADMIN OPTION 参数,表明得到权限的用户可以把该权限再授给其它用户。

【实例 1-4】授予用户 aaron 有创建存储过程的权限,要求带 WITH ADMIN OPTION参数。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 1)管理员授予系统权限,并允许传递 SOL>GRANT CREATE PROCEDURE to aaron WITH ADMIN OPTION; 授权成功。 2)以 aaron 用户登录,授予用户 devp 创建存储过程的权限 SOL>CONNECT aaron/soccer 已连接。 SOL>GRANT CREATE PROCEDURE to devp; 授权成功。 3)创建存储过程 SOL>connect devp /development 已连接。 SOL> CREATE OR REPLACE PROCEDURE pp 2 AS 3 BEGIN 4 DBMS_OUTPUT.PUT_LINE(‘成功了!’); 5 END; 6 / 过程已创建 

因为 aaron 在得到创建存储过程的权限时带有了 WITH ADMIN OPTION 参数,所以它也可以把该权限授予其它用户。

这样用户 devp 也具有了创建存储过程的权限。例如:

大家需要注意,系统权限在回收时不会被级联回收。在前面的例子中,DBA 授予用户aaron 具有 CREATE PROCEDURE 系统权限,用户 aaron 又把 CREATE PROCEDURE 系统 权限授予了 devp 用户,图 P1-1 示意性地给出了授权过程。

P1-1

当 DBA 收回 aaron 的 CREATE PROCEDURE 系统权限时,不会收回 devp 的系统权限,

因为系统权限不会被级联收回。如图 P1-2 所示。

【实例 1-5】回收用户 aaron 的创建存储过程的权限。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)回收权限 SOL>REVOKE CREATE PROCEDURE FROM aaron; 撤销成功。 3)创建存储过程 SOL>connect devp/development 已连接。 SOL> CREATE OR REPLACE PROCEDURE pp AS BEGIN DBMS_OUTPUT.PUT_LINE(‘成功了!’);END; / 过程已创建 

当 DBA 收回了 aaron 的 CREATE PROCEDURE 系统权限后,用户 devp 仍然具有CREATE PROCEDURE 系统权限。

2.2.5 利用控制台管理系统权限

写在最后的话

感谢各位的支持与阅读,后续会继续推送相关知识和交流,欢迎交流、转发和关注,感谢!

标签: #oracle怎么查看用户的权限