Oracle用戶與對(duì)象權(quán)限與系統(tǒng)權(quán)限

1、1用戶與模式用戶：對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，需要以適當(dāng)用戶身份通過(guò)驗(yàn)證，并具有相關(guān)權(quán)限來(lái)完成一系列動(dòng)作SYS用戶，缺省始終創(chuàng)建，且未被鎖定，擁有數(shù)據(jù)字典及其關(guān)聯(lián)的所有對(duì)象SYSTEM用戶，缺省始終創(chuàng)建，且未被鎖定，可以訪問(wèn)數(shù)據(jù)庫(kù)內(nèi)的所有對(duì)象模式(schema):是某個(gè)用戶擁有所有對(duì)象的集合。具有創(chuàng)建對(duì)象權(quán)限并創(chuàng)建了對(duì)象的用戶稱為擁有某個(gè)模式注意：創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象(視圖，表等)的任一用戶都擁有一個(gè)以該用戶名稱開(kāi)頭的模式，且被視為模式用戶2創(chuàng)建及修改用戶條件：需要具有創(chuàng)建用戶的權(quán)限，如sys,system,sysdba,dbarole等語(yǔ)法：CREATEUSERuserIDENTIFIED(BYpasswor

2、d|EXTERNALLY|GLOBALLYASexternalnameDEFAULTTABLESPACEtablespace_nameTEMPORARYTABLESPACEtablespace_nameQUOTA(n(K|M|UNLIMITEDONtablespace_nameQUOTA(n(k|M|UNLIMITEDONtablespace_name.PASSWORDEXPIREACCOUNT(LOCK|UNLOCKPROFILE(profile_name|DEFAULTeg:CREATEUSERrobinsonIDENTIFIEDBYtiger;-省略了DEFAULTTABLESPACE和

3、TEMPORARYTABLESPACE時(shí)，貝U由database_properties中對(duì)應(yīng)的參數(shù)確定SQL>SELECTproperty_name,property_valueFROMdatabase_propertiesWHEREproperty_nameLIKE'DEFAULT%'PROPERTY_NAMEPROPERTY_VALUEDEFAULT_TEMP_TABLESPACETEMPDEFAULT_PERMANENT_TABLESPACEUSERSDEFAULT_TBS_TYPESMALLFILE更多關(guān)于表空間的請(qǐng)參考：Oracle表空間與數(shù)據(jù)文件修改用戶修改用

4、戶的語(yǔ)法同創(chuàng)建用戶，僅僅講關(guān)鍵字create替換為alter,alteruser可以修改除用戶名之外的任一屬性ALTERUSERrobinsonACCOUNTLOCK;修改密碼DBA可以創(chuàng)建用戶和修改密碼用戶本人可以使用ALTERUSER語(yǔ)句修改密碼SQL>ALTERrobinsonIDENTIFIEDBYnewpassword;1. 刪除用戶：DROPUSERusernameCASCADECASECADE連同用戶創(chuàng)建的對(duì)象一并刪除，如果該用戶創(chuàng)建了對(duì)象，要加CASCADE刪除，否則刪除不掉另外，不能刪除當(dāng)前正在與ORACLE服務(wù)器相連的用戶。2. 改變用戶在表空間上的配額：ALTERU

5、SERusernameQUOTA0ONsystem;ALTERUSERscottQUOTAUNLIMITEDONUSERS;ALTERUSERdogQUOTA30MONsystem;3. 查看用戶表空間配額(dba_ts_quotas):SQL>SELECTUSERNAME,TABLESPACE_NAME,MAX_BYTES/1024/1024"MaxMB"2FROMdba_ts_quotasWHEREUSERNAME='SCOTT'USERNAMETABLESPACE_NAMEMaxMBSCOTTSYSTEM30查看特定對(duì)象下用戶所擁有的對(duì)象使用db

6、a_objects視圖SQL>SELECTowner,object_name,object_typeFROMdba_objectsWHEREowner='SCOTT'3Oracle權(quán)限系統(tǒng)權(quán)限：允許用戶執(zhí)行特定的數(shù)據(jù)庫(kù)動(dòng)作，如創(chuàng)建表、創(chuàng)建索引、連接實(shí)例等對(duì)象權(quán)限：允許用戶操縱一些特定的對(duì)象，如讀取視圖，可更新某些列、執(zhí)行存儲(chǔ)過(guò)程3.1系統(tǒng)權(quán)限超過(guò)一百多種有效的權(quán)限(SELECT*FROMSYSTEM_PRIVILEGE_MAP查)數(shù)據(jù)庫(kù)管理員具有高級(jí)權(quán)限以完成管理任務(wù)，例如：-創(chuàng)建新用戶-刪除用戶a. 常用的系統(tǒng)權(quán)限：CREATESESSIONCREATESEQUENCE

7、CREATESYNONYMCREATETABLECREATEANYTABLEDROPTABLEDROPANYTABLECREATEPROCEDUREEXECUTEANYPROCEDURECREATEUSERDROPUSERCREATEVIEW創(chuàng)建會(huì)話創(chuàng)建序列創(chuàng)建同名對(duì)象在用戶模式中創(chuàng)建表在任何模式中創(chuàng)建表在用戶模式中刪除表在任何模式中刪除表創(chuàng)建存儲(chǔ)過(guò)程執(zhí)行任何模式的存儲(chǔ)過(guò)程創(chuàng)建用戶刪除用戶創(chuàng)建視圖授予用戶系統(tǒng)權(quán)限GRANTprivilege,privilege.TOuser,user|role,PUBLIC.WITHADMINOPTION;PUBLIC所有用戶WITHADMINOPTION使用

8、戶同樣具有分配權(quán)限的權(quán)利，可將此權(quán)限授予別人SQL>GRANTCREATESESSION,CREATETABLE,CREATEUSERTOscott;SQL>GRANTEXECUTEANYPROCEDURETOscottWITHADMINOPTION;SQL>CONNscott;-scott具有WITHADMINOPTION,故可以將EXECUTEANYPROCEDURE授予robinsonEnterpassword:Connected.SQL>GRANTEXECUTEANYPROCEDURETOrobinson;Grantsucceeded.SQL>GRANTE

9、XECUTEANYPROCEDURETOPUBLIC;-將EXECUTEANYPROCEDURE授予所有用戶Grantsucceeded.SQL>CONNsystem/redhat;-使用system為robinson授予CREATETABLE、CREATESESSION權(quán)限Connected.SQL>GRANTCREATETABLE,CREATESESSIONTOrobinson;Grantsucceeded.使用系統(tǒng)權(quán)限-使用robinson具有創(chuàng)建會(huì)話、創(chuàng)建表SQL>CREATETABLEtb1ASSELECT*FROMUSER_TABLES;-下面提示沒(méi)有權(quán)限在use

10、rs表空間創(chuàng)建對(duì)象CREATETABLEtb1ASSELECT*FROMUSER_TABLES*ERRORatline1:ORA-01950:noprivilegesontablespace'USERS'SQL>CONNsysassysdba;-使用sys帳戶登陸并為robinson在users表空間指定配額后可以創(chuàng)建表tb1Enterpassword:Connected.SQL>ALTERUSERrobinsonQUOTA10MONUSERS;Useraltered.SQL>CONNrobinson/lion;Connected.SQL>CREATET

11、ABLEtb1ASSELECT*FROMUSER_TABLES;Tablecreated.2 查看系統(tǒng)權(quán)限dba_sys_privs-針對(duì)所有用戶被授予的系統(tǒng)權(quán)限user_sys_privs-針對(duì)當(dāng)前登陸用戶被授予的系統(tǒng)權(quán)限SQL>SELECTgrantee,privilege,admin_optionFROMdba_sys_privsWHEREgranteeIN('SCOTT','ROBINSON')ORDERBYgrantee;GRANTEEPRIVILEGEADMROBINSONCREATESESSIONNOROBINSONCREATETABLENO

12、ROBINSONEXECUTEANYPROCEDURENOSCOTTCREATEPUBLICSYNONYMNOSCOTTCREATESESSIONNOSCOTTCREATESYNONYMNOSCOTTCREATETABLENOSCOTTCREATEUSERNOSCOTTCREATEVIEWNOSCOTTEXECUTEANYPROCEDUREYESSCOTTUNLIMITEDTABLESPACENO回收系統(tǒng)權(quán)限REVOKE(privilege|roleFROM(user_name|role_name|PUBLIC-下面的示例中并沒(méi)有回收掉原來(lái)由scott授予給robisnonEXECUTEANY

13、PROCEDURE的權(quán)限SQL>REVOKEEXECUTEANYPROCEDUREFROMscott;Revokesucceeded.SQL>selectgrantee,privilege,admin_optionfromdba_sys_privs2wheregranteein('SCOTT','ROBINSON')andprivilege='EXECUTEANYPROCEDURE'3orderbygrantee;GRANTEEPRIVILEGEADMROBINSONEXECUTEANYPROCEDURENO注意：對(duì)于使用withad

14、minoption為某個(gè)用戶授予系統(tǒng)權(quán)限，那么對(duì)于被這個(gè)用戶授予相同權(quán)限的所有用戶來(lái)說(shuō)，取消該用戶的系統(tǒng)權(quán)限并不會(huì)級(jí)聯(lián)取消這些用戶的相同權(quán)限3.2對(duì)象權(quán)限不同的對(duì)象具有不同的對(duì)象權(quán)限對(duì)象的擁有者擁有所有權(quán)限對(duì)象的擁有者可以向外分配權(quán)限ORACLE一共有種對(duì)象權(quán)限對(duì)象權(quán)限表視圖序列過(guò)程修改(alter)VV刪除(delete)VV執(zhí)行(execute)V索引(index)V插入(insert)VV關(guān)聯(lián)(references)VV選擇(select)VVV更新(update)VV對(duì)象授權(quán)GRANTobject_priv|ALL(columns)ONobjectTOuser|role|PUBLICW

15、ITHGRANTOPTION;ALL:所有對(duì)象權(quán)限PUBLIC:授給所有的用戶WITHGRANTOPTION:允許用戶再次給其它用戶授權(quán)a. 授予系統(tǒng)權(quán)限與授予對(duì)象權(quán)限的語(yǔ)法差異：授予對(duì)象權(quán)限時(shí)需要指定關(guān)鍵字ON,從而能夠確定權(quán)限所應(yīng)用的對(duì)象。對(duì)于表和視圖可以指定特定的列來(lái)授權(quán)。-對(duì)象授權(quán)示例SQL>SHOWUSER;USERis"SCOTT"SQL>GRANTSELECTONempTOrobinson;Grantsucceeded.SQL>GRANTUPDATE(sal,mgr)ONempTOrobinsonWITHGRANTOPTION;Grantsu

16、cceeded.-新創(chuàng)建一個(gè)用戶john，使用robinson賬戶授予更新scott.emp(sal,mgr)的權(quán)限SQL>CREATEUSERjohnIDENTIFIEDBYjohn;Usercreated.SQL>GRANTCREATESESSIONTOjohn;Grantsucceeded.SQL>CONNROBINSON/LIONConnected.SQL>GRANTUPDATE(sal,mgr)ONscott.empTOjohn;-授予scott.emp(sal,mgr)的更新權(quán)限Grantsucceeded.SQL>UPDATEscott.empSET

17、sal=sal+100WHEREename='SCOTT'-成功更新1rowupdated.-向數(shù)據(jù)庫(kù)中所有用戶分配權(quán)限SQL>GRANTSELECTONdeptTOPUBLIC;Grantsucceeded.b. 查詢權(quán)限分配情況數(shù)據(jù)字典視圖描述ROLESYSPRIVS角色擁有的系統(tǒng)權(quán)限ROLETABPRIVS角色擁有的對(duì)象權(quán)限USER_TAB_PRIVS_MADE查詢授出去的對(duì)象權(quán)限（通常是屬主自己查）USER_TAB_PRIVS_RECD用戶擁有的對(duì)象權(quán)限USER_COL_PRIVS_MADEUSER_COL_PRIVS_RECDUSER_SYS_PRIVSUSER

18、_TAB_PRIVSUSERROLEPRIVS用戶分配出去的列的對(duì)象權(quán)限用戶擁有的關(guān)于列的對(duì)象權(quán)限用戶擁有的系統(tǒng)權(quán)限用戶擁有的對(duì)象權(quán)限用戶擁有的角色-查詢已授予的對(duì)象權(quán)限（即某個(gè)用戶對(duì)哪些表對(duì)哪些用戶開(kāi)放了對(duì)象權(quán)限卜面是scott用戶開(kāi)放的對(duì)象SQL>SELECT*FROMuser_tab_privs_made;-權(quán)限GRANTEETABLENAMEGRANTORPRIVILEGENOGRAHIEPUBLICDEPTSCOTTSELECTNOROBINSONEMPSCOTTSELECTNONO-查詢列上開(kāi)放的對(duì)象權(quán)限SQL>SELECT*FROMuser_col_privs_mad

19、e;GRANTEETABLE_NAMECOLUMN_NAMEGRANTORPRIVILEGEGRAROBINSONEMPSALSCOTTUPDATEYESJOHNEMPMGRROBINSONUPDATENOROBINSONEMPMGRSCOTTUPDATEYESJOHNEMPSALROBINSONUPDATENO-查詢已接受的對(duì)象特權(quán)（即某個(gè)用戶被授予了哪些表上的哪些對(duì)象特權(quán)）SQL>SELECT*FROMuser_tab_privs_recd;OWNERTABLE_NAMEGRANTORPRIVILEGEGRAHIESCOTTEMPSCOTTSELECTNONO-查詢用戶已接受列的對(duì)象

20、權(quán)限SQL>SELECT*FROMuser_col_privs_recd;OWNERTABLE_NAMECOLUMN_NAMEGRANTORPRIVILEGEGRASCOTTEMPMGRSCOTTUPDATEYESSCOTTEMPSALSCOTTUPDATEYES收回對(duì)象權(quán)限使用REVOKE語(yǔ)句收回權(quán)限使用WITHGRANTOPTION子句所分配的權(quán)限同樣被收回REVOKEprivilege,privilege.|ALLONobjectFROMuser,user.|role|PUBLICCASCADECONSTRAINTS;CASCADECONSTRAINTS為處理引用完整性時(shí)需要-收回

21、權(quán)限示例SQL>connscott/tiger;Connected.SQL>REVOKESELECTONempFROMrobinson;Revokesucceeded.SQL>REVOKEUPDATE(sal,mgr)ONempFROMrobinson;-注意此處的提示revoke的是整個(gè)表，而非列REVOKEUPDATE(sal,mgr)ONempFROMrobinson*ERRORatline1:ORA-01750:UPDATE/REFERENCESmayonlybeREVOKEdfromthewholetable,notbycolumnSQL>REVOKEUPDATEONempFROMrobinson;Revokesucceeded.-用戶robinson的update權(quán)限被revoke,曾級(jí)聯(lián)賦予john的權(quán)限也被收回，-如下提示表、視圖不存在，user_col_privs_recd中無(wú)記錄SQL>CONNjohn/john;Connected.SQL>UPDATEscott.empSE