oracle地系統(tǒng)和對象權(quán)限

1、Oracle中的系統(tǒng)權(quán)限和對象權(quán)限系統(tǒng)權(quán)限的定義系統(tǒng)權(quán)限(system privilege ):指在系統(tǒng)級控制數(shù)據(jù)庫的存取和使用的 機制，即執(zhí)行某種SQL語句的能力。如，是否能啟動、停止數(shù)據(jù)庫，是否能修 改數(shù)據(jù)庫參數(shù)，是否能連接到數(shù)據(jù)庫，是否能創(chuàng)建、刪除、更改方案對象(如表、 索引、視圖、過程)等。它一般是針對某一類方案對象或非方案對象的某種操作 的全局性能力。提 示”沒有系統(tǒng)權(quán)限的用戶實際上是個連登錄能力都沒有的、有名無實的用戶。在Oracle數(shù)據(jù)庫中，SYSTEM是數(shù)據(jù)庫管理員，他具有DBA角色，即具有DBA角色的所有系統(tǒng)權(quán)限，包括 SELECT ANY DICTIONARY，所以，他 可

2、以查詢數(shù)據(jù)字典中的、以“DBA_ ”開頭的數(shù)據(jù)字典視圖BAQUSERS。系統(tǒng)權(quán)限的分類每種系統(tǒng)權(quán)限都為用戶提供了執(zhí)行某一種或某一類系統(tǒng)級的數(shù)據(jù)庫操作的權(quán)力，即系統(tǒng)級的 DDL (Data Definition Language)語句、DML ( DataManipulation Language)語句的權(quán)力。數(shù)據(jù)字典視圖 system_privilege_map中包括了 Oracle數(shù)據(jù)庫中的所有系統(tǒng)權(quán)限。查詢該視圖可以了解系統(tǒng)權(quán)限的信 息，查詢系統(tǒng)權(quán)限的個數(shù)：select coiunt (*) from system_privilege_map;查詢具體的系統(tǒng)權(quán)限select * from

3、system_privilege_map;系統(tǒng)權(quán)限的類型、名稱、說明類型/系統(tǒng)權(quán)限說明群集權(quán)限CREATE CLUSTER在自己的方案中創(chuàng)建、更改和刪除群集CREATE ANY CLUSTER在任何方案中創(chuàng)建群集ALTER ANY CLUSTER在任何方案中更改群集DROP ANY CLUSTER在任何方案中刪除群集數(shù)據(jù)庫權(quán)限ALTER DATABASE運行ALTER DATABASE語句，更改數(shù)據(jù)庫的配置ALTER SYSTEM運行ALTER SYSTEM語句，更改系統(tǒng)的初始化參數(shù)AUDIT SYSTEM運行 AUDIT SYSTEM 和 NOAUDIT SYSTEM語句，審計SQLAUDI

4、T ANY運行AUDIT和NOAUDIT 語句，對任何方案的對象進行審計索引權(quán)限CREATE ANY INDEX在任何方案中創(chuàng)建索引注意：沒有 CREATE INDEX 權(quán)限，CREATETABLE權(quán)限包含了 CREATE INDEX權(quán)限ALTER ANY INDEX在任何方案中更改索引DROP ANY INDEX任何方案中刪除索引過程權(quán)限CREATE PROCEDURE在自己的方案中創(chuàng)建、更改或刪除過程、函數(shù)和包CREATE ANY PROCEDURE在任何方案中創(chuàng)建過程、函數(shù)和包ALTER ANY PROCEDURE在任何方案中更改過程、函數(shù)和包DROP ANY PROCEDURE在任何方

5、案中刪除過程、函數(shù)或包EXECUTE ANY PROCEDURE在任何方案中執(zhí)行或者引用過程概要文件權(quán)限CREATE PROFILE創(chuàng)建概要文件ALTER PROFILE更改概要文件DROP PROFILE刪除概要文件角色權(quán)限CREATE ROLE創(chuàng)建角色ALTER ANY ROLE更改任何角色DROP ANY ROLE刪除任何角色GRANT ANY ROLE向其他角色或用戶授予任何角色注意：沒有對應(yīng)的 REVOKE ANY ROLE權(quán)限回退段權(quán)限CREATE ROLLBACK創(chuàng)建回退段SEGMENT注意：沒有對撤銷段的權(quán)限ALTER ROLLBACK更改回退段SEGMENTDROP ROLL

6、BACK刪除回退段SEGMENT序列權(quán)限CREATE SEQLENCE在自己的方案中創(chuàng)建、更改、刪除和選擇序列CREATE ANY SEQUENCE在任何方案中創(chuàng)建序列ALTER ANY SEQUENCE在任何方案中更改序列DROP ANY SEQUENCE在任何方案中刪除序列SELECT ANY SEQUENCE在任何方案中從任何序列中進行選擇會話權(quán)限CREATE SESSION創(chuàng)建會話，登錄進入（連接到）數(shù)據(jù)庫ALTER SESSION運行ALTER SESSION語句，更改會話的屬性ALTER RESOURCE COST更改概要文件中的計算資源消耗的方式RESTRICTED SESSIO

7、N在數(shù)據(jù)庫處于受限會話模式下連接到數(shù)據(jù)同義詞權(quán)限CREATE SYNONYM在自己的方案中創(chuàng)建、刪除同義詞CREATE ANY SYNONYM在任何方案中創(chuàng)建專用同義詞CREATE PUBLIC SYNONYM創(chuàng)建公共同義詞DROP ANY SYNONYM在任何方案中刪除同義詞DROP PUBLIC SYNONYM刪除公共同義詞表權(quán)限CREATE TABLE在自己的方案中創(chuàng)建、更改和刪除表CREATE ANY TABLE在任何方案中創(chuàng)建表ALTER ANY-TABLE在任何方案中更改表DROP ANY TABLE在任何方案中刪除表COMMENT ANY TABLE在任何方案中為任何表、視圖或者

8、列添加注釋SELECT ANY TABLE在任何方案中選擇任何表中的記錄INSERT ANY TABLE在任何方案中向任何表插入新記錄UPDATE ANY TABLE在任何方案中更改任何表中的記錄DELETE ANY TABLE在任何方案中刪除任何表中的記錄LOCK ANY TABLE在任何方案中鎖定任何表FLASHBACK ANY TABLE允許使用AS OF子句對任何方案中的表、視圖執(zhí)行一個SQL語句的閃回查詢表空間權(quán)限CREATE TABLESPACE創(chuàng)建表空間ALTER TABLESPACE更改表空間DROP TABLESPACE刪除表空間，包括表、索引和表空間的群集MANAGE TA

9、BLESPACE管理表空間，使表空間處于ONLINE （聯(lián)機）、OFFLINE （脫機）、BEGIN BACKUP （開始備份）、END BACKUP （結(jié)束備份）狀態(tài)UNLIMITED TABLESPACE不受配額限制地使用表空間注意：只能將UNLIMITED TABLESPACE 授予賬戶而不能授予角色用戶權(quán)限CREATE USER創(chuàng)建用戶ALTER USER更改用戶BECOME USER當執(zhí)行完全裝入時，成為另一個用戶DROP USER刪除用戶視圖權(quán)限CREATE VIEW在自己的方案中創(chuàng)建、更改和刪除視圖CREATE ANY VIEW在任何方案中創(chuàng)建視圖DROP ANY VIEW在任何

10、方案中刪除視圖COMMENT ANY TABLE在任何方案中為任何表、視圖或者列添加注釋FLASHBACK ANY TABLE允許使用AS OF子句對任何方案中的表、視圖執(zhí)行一個SQL語句的閃回查詢觸發(fā)器權(quán)限CREATE TRIGGER在自己的方案中創(chuàng)建、更改和刪除觸發(fā)器CREATE ANY TRIGGER在任何方案中創(chuàng)建觸發(fā)器ALTER ANY TRIGGER在任何方案中更改觸發(fā)器DROP ANY TRIGGER在任何方案中刪除觸發(fā)器ADMINISTER DATABASETRIGGER允許創(chuàng)建ON DATABASE觸發(fā)器。在能夠創(chuàng)建ON DATABASE觸發(fā)器之前，還必須先擁有CREATE

11、TRIGGER 或 CREATE ANY TRIGGER權(quán)限專用權(quán)限SYSOPER（系統(tǒng)操作員權(quán)限）STARTUPSHUTDOWNALTER DATABASE MOUNT/OPENALTER DATABASE BACKUP CONTROLFILEALTER DATABASE BEGIN/END BACKUPALTER DATABASE ARCHIVELOGRECOVER DATABASERESTRICTED SESSIONCREATE SPFILE/PFILESYSDBA（系統(tǒng)管理員權(quán)限）SYSOPER的所有權(quán)限，并帶有WITH ADMINOPTION子句CREATE DATABASERECO

12、VER DATABASE UNTIL其他權(quán)限ANALYZE ANY對任何方案中的任何表、群集或者索引執(zhí)行ANALYZE 語句GRANT ANY OBJECT授予任何方案上的任何對象上的對象權(quán)限PRIVILEGE注意：沒有對應(yīng)的 REVOKE ANY OBJECTPRIVILEGEGRANT ANY PRIVILEGE授予任何系統(tǒng)權(quán)限注意：沒有對應(yīng)的 REVOKE ANY PRIVILEGESELECT ANY DICTIONARY允許從sys用戶所擁有的數(shù)據(jù)字典表中進行選擇對象權(quán)限的定義對象權(quán)限(object privilege )：指在對象級控制數(shù)據(jù)庫的存取和使用的機 制，即訪問其他用戶的方

13、案對象的能力。女口，用戶可以存取哪個用戶的方案中的 哪個對象，是否能對該對象進行查詢、插入、更新等。對象權(quán)限一般是針對其他 用戶的某個特定的方案對象的某種操作的局部性能力。提示”一個用戶可以訪問自己方案中的任何對象，并對其進行任何操作，即對自己的 任何對象有任何對象權(quán)限。對象權(quán)限的分類Oracle數(shù)據(jù)庫的方案對象主要是指：表、索引、視圖、序列、同義詞、過 程、函數(shù)、包、觸發(fā)器。創(chuàng)建對象的用戶擁有該對象的所有對象權(quán)限，不需要授予。所以，對象權(quán)限 的設(shè)置實際上是為對象的所有者給其他用戶提供操作該對象的某種權(quán)力的一種 方法。Oracle數(shù)據(jù)庫中總共有9種不同的對象權(quán)限。不同類型的對象有不同的對 象權(quán)

14、限。有些對象（如集群、索引、觸發(fā)器、數(shù)據(jù)庫連接）沒有對應(yīng)的對象權(quán)限， 即他們是通過系統(tǒng)權(quán)限來控制的，例如，如要修改集群，用戶必須要具有ALTER ANY CLUSTER系統(tǒng)權(quán)限。對象、對象權(quán)限的對應(yīng)關(guān)系如表所示。能夠在該對象上授予的對象權(quán)限用表示。對象對象權(quán)限Alt er 更 改Dele te 刪除Execu te 運行Ind ex 索引In se rt 插入Rea d 讀Refere n ce引用Sele ct選擇Upda te 更新DirectorVy目錄Functio n 函數(shù)VProced ure 子程序VPackag e包VDBObject數(shù)據(jù)庫對象VLibrary庫VOperato

15、r操作符VSequence序列VVTable表VVVVVVVTypeV類型ViewVVVV視圖對象權(quán)限及說明對象權(quán)限說明Alter表上的ALTER權(quán)限保證在相關(guān)的表上執(zhí)行 ALTER TABLE更改或LOCK TABLE語句?？梢灾孛?、添加列、刪除列、 更改數(shù)據(jù)類型和列的長度，以及把表轉(zhuǎn)換成一個分區(qū)(partiti oned )表。序列上的ALTER權(quán)限可以保證能夠在相關(guān)序列上執(zhí)行ALTER SEQUENCE語句，可以重設(shè)授權(quán)序列對象的最小值、 增量和緩沖區(qū)大小Delete允許在授權(quán)對象上執(zhí)行DELETE語句，以便從表或者視圖中刪除刪除行。SELECT權(quán)限必須隨同DELETE權(quán)限授予，否則

16、被 授權(quán)的人將不能夠選擇行，因此也就無法刪除行。 DELETE 權(quán)限還允許被授權(quán)者鎖定相應(yīng)的表Execute包上的EXECUTE權(quán)限允許被授權(quán)者執(zhí)行或者使用在相應(yīng)的運行Index索引In sert插入Read讀Refere nee引用Select選擇包規(guī)定中聲明的任何程序或者程序?qū)ο螅ㄈ缫粋€記錄類型，即record type 或者指針即 cursor ）。操作符（operator ）或者類型（type ）上的EXECUTE權(quán)限允許在SQL或者PL/SQL中使用該操作符。數(shù)據(jù)庫對象上的EXECUTE權(quán)限允許被授權(quán)者使用相關(guān)的數(shù)據(jù)庫對象并且調(diào)用其方法允許被授權(quán)者在相關(guān)的表上創(chuàng)建索引或者鎖定該表。當

17、一個方案（schema ）擁有一個表而另一個方案擁有其索引的時候，會出現(xiàn)混亂。在授予這種權(quán)限時要小心允許被授權(quán)者在相關(guān)的表或視圖中創(chuàng)建行。如果該INSERT權(quán)限建立在相關(guān)表或者視圖的特定列上， 則 只能在具有INSERT權(quán)限的列上插入數(shù)據(jù)。INSERT權(quán)限還隱含地給被授權(quán)者以鎖定該表的能力只能在目錄上授予。允許被授權(quán)者讀取指定目錄中的 BFILE。Read權(quán)限與SELECT權(quán)限有區(qū)別，后者允許用戶讀取一個 表或者視圖只能在表上授予用戶，而不能授予角色。允許被授權(quán)者創(chuàng)建引用該表的參照完整性約束。被授權(quán)者可 以鎖定該表允許被授權(quán)者在表或者視圖上執(zhí)行 SELECT語句。允許被授權(quán)者讀取表或者視圖的內(nèi)

18、容。序列上的SELECT權(quán)限允許被授權(quán)者獲取當前值(CURRVAL)或者通過選擇 NEXTVAL增大該值。SELECT權(quán)限只能授予整個表，不能授予表中的列。因此， 如果希望用戶只能查詢表中的部分列， 就需要在該表上創(chuàng)建 視圖，然后將該視圖的SELECT權(quán)限授予用戶。Update允許被授權(quán)者更改表或者視圖中的數(shù)據(jù)值。SELECT權(quán)限必更新須隨同UPDATE權(quán)限一起授予，這樣就使被授權(quán)者隱含具有了鎖定表的能力All對于可以具有多項權(quán)限的對象，可以授予或者撤消專門的權(quán)所有限 ALL 0對于表而言，ALL中包含了 SELECT INSERT、UPDATE 和 DELETE 以及 INDEX、ALTER

19、 和 REFERENCE 所以， 在表上授予AIL權(quán)限時要小心，因為可能并不想授予INDEX、ALTER 和 REFERENCE權(quán)限角色定義：我在前面的篇幅中說明權(quán)限和用戶。 慢慢的在使用中你會發(fā)現(xiàn)一個問題：如 果有一組人，他們的所需的權(quán)限是一樣的，當對他們的權(quán)限進行管理的時候會很 不方便。因為你要對這組中的每個用戶的權(quán)限都進行管理。有一個很好的解決辦法就是：角色。角色是一組權(quán)限的集合，將角色賦給一 個用戶，這個用戶就擁有了這個角色中的所有權(quán)限。 那么上述問題就很好處理了， 只要第一次將角色賦給這一組用戶，接下來就只要針對角色進行管理就可以了。以上是角色的一個典型用途。其實，只要明白：角色就是一組權(quán)限的集合。 下面分兩個部門來對oracle角色進行說明。二、系統(tǒng)預定義角色預定義角色是在數(shù)據(jù)庫安裝后，系統(tǒng)自動創(chuàng)建的一些常用的角色。下介簡單的介紹一下這些預定角色。角色所包含的權(quán)限可以用以下語句查詢：sql>select * from role_sys_privs where role=' 角色名'Eg: select * from role_sys_privs where role='