《oracle權(quán)限》PPT課件

1、用戶創(chuàng)建一個(gè)用戶，先登錄sys用戶SQLCONN /AS SYSDBA新建 一個(gè)HP用戶SQLCREATE USER USER_NAME IDENTIFIED BY PWD;更改用戶的密碼，使用alter語句SQLALTER USER USER_NAME IDENTIFIED BY N_PWD;刪除用戶SQLDROP USER USER_NAME例： CONN /AS SYSDBA CREATE USER HP IDENTIFIED BY HP; ALTER USER HP IDENTIFIED BY HP1; DROP USER HP;SQL Alter user HP account lo

2、ck; / 加鎖 SQL Alter user HP account unlock;/解鎖1精選PPT權(quán) 限1.權(quán)限的分類系統(tǒng)權(quán)限：系統(tǒng)規(guī)定用戶使用數(shù)據(jù)庫的權(quán)限。（系統(tǒng)權(quán)限是對用戶而言)。實(shí)體權(quán)限：某種權(quán)限用戶對其它用戶的表或視圖的存取權(quán)限。（是針對對象而言的）。DBA: 擁有全部特權(quán)，是系統(tǒng)最高權(quán)限，只有DBA才可以創(chuàng)建數(shù)據(jù)庫結(jié)構(gòu)。RESOURCE:擁有Resource權(quán)限的用戶只可以創(chuàng)建實(shí)體，不可以創(chuàng)建數(shù)據(jù)庫結(jié)構(gòu)。CONNECT:擁有Connect權(quán)限的用戶只可以登錄Oracle，不可以創(chuàng)建實(shí)體，不可以創(chuàng)建數(shù)據(jù)2精選PPT對于普通用戶：授予connect, resource權(quán)限。對于DBA

3、管理用戶：授予connect，resource, dba權(quán)限。新建用戶必須得給session的權(quán)限。這是最基本的權(quán)限。以保證用戶能夠登陸數(shù)據(jù)庫，否則這個(gè)用戶有再多別的權(quán)限也是沒有意義的CONN /AS SYSDBADROP USER HPCREATE USER IDENTIFIED BY HP;GRANT CREATE TABLE,CREATE VIEW TO HP;CONN HP/HP-是要報(bào)錯(cuò)的沒有session的權(quán)限CONN /AS SYSDBASELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE=HP;GRANT CREATE SESSION TO HP;

4、3精選PPT例：創(chuàng)建用戶給權(quán)限（最基本的權(quán)限是登陸數(shù)據(jù)庫的權(quán)限，就是session會話權(quán)限）CONN /AS SYSDBACREATE USER HP IDENTIFIED BY HP;GRANT CREATE SESSION TO HP;CONN HP/HP;CREATE TABLE I (ID INT);檢驗(yàn)一下，HP用戶現(xiàn)在只有登陸數(shù)據(jù)庫的權(quán)限，那么用hp創(chuàng)建表是不成功的，應(yīng)為沒有創(chuàng)建表的權(quán)限給用戶授權(quán)的語句是SQLGRANT 權(quán)限 TO USER現(xiàn)在可以查詢一下自己擁有什么權(quán)限SQLSELECT * FROM SESSION_PRIVS當(dāng)給用戶create table權(quán)限但是提示表空間

5、無權(quán)限的時(shí)候就運(yùn)行alter user aGuotu quota 1000M on HP;alter user hp quota unlimited on users;grant unlimited tablespace to HP；給HP一個(gè)所有的表空間的權(quán)限4精選PPT權(quán)限下還有一個(gè)public，public是數(shù)據(jù)庫中所有用戶的一個(gè)總稱，也算是集合吧。統(tǒng)一的給用戶某種權(quán)限或者多種權(quán)限。使用戶默認(rèn)的擁有某種權(quán)限或者多種權(quán)限。例： CONN /AS SYSDBA GRANT CREATE SESSION TO PUBLIC;CREATE USER HP IDENTIFIED BY HP;CON

6、N HP/HP現(xiàn)在創(chuàng)建的用戶就不用在給session權(quán)限了，因?yàn)閜ublic已經(jīng)給所有的用戶包括新建的用戶都有session的權(quán)限with admin option和with grant optionwith admin option 是系統(tǒng)權(quán)限授權(quán)，比如創(chuàng)建表，創(chuàng)建視圖等等。with grant option 是對象權(quán)限授權(quán)，比如插入，更新和刪除（delete）沒有drop的去權(quán)限刪除用戶： DROP USER USER_NAME,刪除一個(gè)用戶DROP USER USER_NAME CASCADE(后加cascade會刪除根表所有有關(guān)聯(lián)的對象)刪除角色：DROP ROLE ROLE_NAME

7、;撤銷系統(tǒng)權(quán)限：REVOKE 權(quán)限 FROM USER _NAME;撤銷對象權(quán)限：REVOKE 權(quán)限 ON 對象 TO USER_NAME;例如：我們剛才給了所有的用戶session的權(quán)限，現(xiàn)在就來撤銷掉session的權(quán)限CONN /AS SYSDBAREVOKE CREATE SESSION FROM PUBLIC;DROP USER HP;CREATE USER HP IDENTIFIED BY HP;CONN HP/HP5精選PPTWITH ADMIN OPTION的用戶，就是允許用戶可以把自己的權(quán)限分配給自己創(chuàng)建的用戶身上。如果創(chuàng)建用戶的時(shí)候不加with admin option的話

8、就會提示admin選項(xiàng)未授權(quán)給AA。CONN /AS SYSDBADROP USER HP CASCADE;DROP USER TT CASCADE;DROP ROLE AA CASCADE;CREATE USER HP IDENTIFIED BY HP;CREATE ROLE AA;GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO AA;GRANT AA TO HP;CONN HP/HPCREATE USER TT IDENTIFIED BY TT;GRANTE AA TO TT;就會報(bào)錯(cuò)CONN /AS SYSDBADROP USER HP

9、CASCADE; DROP USER TT CASCADE;DROP ROLE AA CASCADE;CREATE USER HP IDENTIFIED BY HP;CREATE ROLE AA;GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO AA ;GRANT AA TO HP WITH ADMIN OPTION;CONN HP/HPCREATE USER TT IDENTIFIED BY TT;GRANT AA TO TT；下面這個(gè)是with admin optionCONN /AS SYSDBA DROP USER HP;CONN TT/

10、TT此時(shí)AA角色的權(quán)限TT還是擁有著的，就是說用WITH ADMIN OPTION 的時(shí)候可以使用戶一級一級的創(chuàng)建新的用戶并且分配權(quán)限，但是在刪除創(chuàng)建的第一用戶的時(shí)候，別的用戶則不受影響如授予A系統(tǒng)權(quán)限create session with admin option,然后A又把create session權(quán)限授予B,但管理員收回A的create session權(quán)限時(shí)，B依然擁有create session的權(quán)限，但管理員可以顯式收回B create session的權(quán)限，即直接revoke create session from B. 6精選PPT角 色角色是一組權(quán)限的集合，將角色賦給一個(gè)用戶

11、，這個(gè)用戶就擁有了這個(gè)角色中的所有權(quán)限。 其中connect和resource就是系統(tǒng)權(quán)限的兩個(gè)集合，也就是兩個(gè)角色。都是最基本的。一般普通用戶就給這兩個(gè)角色的所有的權(quán)限就可以了。CONN /AS SYSDBA DROP USER HP;CREATE USER HP IDENTIFIED BY HP;GRANT CONNECT,RESOURCE TO HP;CONN HP/HPCREATE TABLE I(ID INT);CONNECT角色下默認(rèn)只有session的權(quán)限select * from role_sys_privs where role=connect;7精選PPT根據(jù)自己的需求的創(chuàng)

12、建角色，并且賦予用戶創(chuàng)建角色create role ROLE_NAME;給角色賦予權(quán)限GRANT 權(quán)限 TO ROLE_NAME;將角色賦予用戶GRANT ROLE_NAME TO USER_NAMECONN /AS SYSDBADROP USER HP CASCADE;DROP ROLE AA;CREATE ROLE AA;CREATE USER HP IDENTIFIED BY HP;GRANT CREATE SESSION,CREATE TABLE TO AA;GRANT AA TO HP;CONN HP/HP;這樣HP就有登陸數(shù)據(jù)庫和創(chuàng)建表的權(quán)限了。創(chuàng)建帶密碼的角色以及使用8精選PPT

13、對 象對象就是數(shù)據(jù)庫中的表，索引，視圖等等對象的權(quán)限就是對某一個(gè)用戶所擁有的對象進(jìn)行alter，delete，update，select。等等的操作。CONN /AS SYSDBADROP USER HP CASCADE;DROP USER TT CASCADE;DROP ROLE AA CASCADE;CREATE ROLE AA;GRANT CREATE SESSION,CREATE TABLE TO AA;CREATE USER HP IDENTIFIED BY HP;CREATE USER TT IDENTIFIED BY TT;GRANT AA TO HP,TT ;-以上是創(chuàng)建用戶并

14、且授權(quán)CONN HP/HPCREATE TABLE S (ID INT,NAME VARCHAR2(10);INSERT INTO S VALUES(1,花花);SELECT * FROM S;CONN TT/TTSELECT * FROM HP.S; -提示是沒有表或者視圖CONN HP/HPGRANT SELECT,INSERT ON HP.S TO TT;CONN TT/TTINSERT INTO HP.S VALUES(2,大王);SELECT * FROM HP.S;下面自己給update的權(quán)限，并且把大王改成花大王語法是：CONN HP/HPGRANT 對象權(quán)限 ON 用戶.表 TO 其他用戶；可以由DBA來給對象權(quán)限，也可以由對象的所有者來給權(quán)限。9精選PPTwith grant option給對象授權(quán)的如果hp.s也想被tt下面的yy用戶所查看的話，就得用到with grant optionCONN HP/HPGRANT SELECT ON HP.S TO TT;SELECT * FROM HP.S;