oracle用户权限、角色管理详解


Oracle 权限设置

一、权限分类:

系统权限:系统规定用户使用数据库的权限。(系统权限是对用户而言)。

实体权限:某种权限用户对其它用户的表或视图的存取权限。(是针对表或视图而言的)。

二、系统权限管理:

1、系统权限分类:

DBA: 拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构。

RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构。

CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可以创建数据库结构。

对于普通用户:授予connect, resource权限。

对于DBA管理用户:授予connect,resource, dba权限。

2、系统权限授权命令:

[系统权限只能由DBA用户授出:sys, system(最开始只能是这两个用户)]

授权命令:SQL> grant connect, resource, dba to 用户名1 [,用户名2]...;

[普通用户通过授权可以具有与system相同的用户权限,但永远不能达到与sys用户相同的权限,system用户的权限也可以被回收。]

例:

复制代码 代码如下:

SQL> connect system/manager

SQL> Create user user50 identified by user50;

SQL> grant connect, resource to user50;

查询用户拥有哪里权限:

复制代码 代码如下:

SQL> select * from user_sys_PRivs;  查看当前用户所有权限

SQL> select * from user_tab_privs;  查看所用用户对表的权限

删除用户:SQL> drop user 用户名 cascade;  //加上cascade则将用户连同其创建的东西全部删除

3、系统权限传递:

增加WITH ADMIN OPTION选项,则得到的权限可以传递。

复制代码 代码如下:

SQL> grant connect, resorce to user50 with admin option;  //可以传递所获权限。

4、系统权限回收:系统权限只能由DBA用户回收

命令:SQL> Revoke connect, resource from user50;

说明:

1)如果使用WITH ADMIN OPTION为某个用户授予系统权限,那么对于被这个用户授予相同权限的所有用户来说,取消该用户的系统权限并不会级联取消这些用户的相同权限。

2)系统权限无级联,即A授予B权限,B授予C权限,如果A收回B的权限,C的权限不受影响;系统权限可以跨用户回收,即A可以直接收回C用户的权限。

三、实体权限管理

1、实体权限分类:select, update, insert, alter, index, delete, all  //all包括所有权限

execute  //执行存储过程权限

user01:

复制代码 代码如下:

SQL> grant select, update, insert on product to user02;

SQL> grant all on product to user02;

user02:

复制代码 代码如下:

SQL> select * from user01.product;

// 此时user02查user_tables,不包括user01.product这个表,但如果查all_tables则可以查到,因为他可以访问。


 

2. 将表的操作权限授予全体用户:

复制代码 代码如下:

SQL> grant all on product to public;       public表示是所有的用户,这里的all权限不包括drop。

[实体权限数据字典]:

复制代码 代码如下:

SQL> select owner, table_name from all_tables; // 用户可以查询的表

SQL> select table_name from user_tables;  // 用户创建的表

SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 获权可以存取的表(被授权的)

SQL> select grantee, owner, table_name, privilege from user_tab_privs;   // 授出权限的表(授出的权限)

3. DBA用户可以操作全体用户的任意基表(无需授权,包括删除):

DBA用户:

复制代码 代码如下:

SQL> Create table stud02.product( id number(10),name varchar2(20));

SQL> drop table stud02.emp;

SQL> create table stud02.employee

as

select * from scott.emp;

4. 实体权限传递(WITH GRANT OPTION):

user01:

复制代码 代码如下:

SQL> grant select, update on product to user02 with grant option; // user02得到权限,并可以传递。

5. 实体权限回收:

user01:

复制代码 代码如下:

SQL>Revoke select, update on product from user02;  //传递的权限将全部丢失。

说明

1)如果取消某个用户的对象权限,那么对于这个用户使用WITH GRANT OPTION授予权限的用户来说,同样还会取消这些用户的相同权限,也就是说取消授权时级联的。

Oracle 用户管理

一、创建用户的Profile文件

SQL> create profile student limit  // student为资源文件名

 FAILED_LOGIN_ATTEMPTS  3  //指定锁定用户的登录失败次数

 PASSWORD_LOCK_TIME 5  //指定用户被锁定天数

 PASSWORD_LIFE_TIME 30  //指定口令可用天数

二、创建用户

复制代码 代码如下:

SQL> Create User username

 Identified by password

 Default Tablespace tablespace

 Temporary Tablespace tablespace

 Profile profile

 Quota integer/unlimited on tablespace;


 

例:

复制代码 代码如下:

SQL> Create user acc01
identified by acc01   // 如果密码是数字,请用双引号括起来
defaulttablespaceaccount
temporarytablespacetemp
profiledefault
quota50monaccount;
SQL>grantconnect,resourcetoacc01;

[*]查询用户缺省表空间、临时表空间

复制代码 代码如下:

SQL>selectusername,default_tablespace,temporary_tablespacefromdba_users;

[*]查询系统资源文件名:

复制代码 代码如下:

SQL>select*fromdba_profiles;

资源文件类似表,一旦创建就会保存在数据库中。

复制代码 代码如下:

SQL>selectusername,profile,default_tablespace,temporary_tablespacefromdba_users;
SQL>createprofilecommonlimit
failed_login_attempts5
idle_time5;
SQL>Alteruseracc01profilecommon;

三、修改用户:

复制代码 代码如下:

SQL>AlterUser用户名

Identified口令

DefaultTablespacetablespace

TemporaryTablespacetablespace

Profileprofile

Quotainteger/unlimitedontablespace;

1、修改口令字:

复制代码 代码如下:

SQL>Alteruseracc01identifiedby"12345";

2、修改用户缺省表空间:

复制代码 代码如下:

SQL>Alteruseracc01defaulttablespaceusers;

3、修改用户临时表空间

复制代码 代码如下:

SQL>Alteruseracc01temporarytablespacetemp_data;

4、强制用户修改口令字:

复制代码 代码如下:

SQL>Alteruseracc01passwordexpire;

5、将用户加锁

复制代码 代码如下:

SQL>Alteruseracc01accountlock;//加锁
SQL>Alteruseracc01accountunlock;//解锁

四、删除用户

复制代码 代码如下:

SQL>dropuser用户名;//用户没有建任何实体
SQL>dropuser用户名CASCADE;//将用户及其所建实体全部删除

*1.当前正连接的用户不得删除。

五、监视用户:

1、查询用户会话信息:

复制代码 代码如下:

SQL>selectusername,sid,serial#,machinefromv$session;

2、删除用户会话信息:

复制代码 代码如下:

SQL>Altersystemkillsession'sid,serial#';

3、查询用户SQL语句:
复制代码 代码如下:

SQL>selectuser_name,sql_textfromv$open_cursor;

Oracle角色管理

一、何为角色

角色。角色是一组权限的集合,将角色赋给一个用户,这个用户就拥有了这个角色中的所有权限。

二、系统预定义角色

预定义角色是在数据库安装后,系统自动创建的一些常用的角色。下介简单的介绍一下这些预定角色。角色所包含的权限可以用以下语句查询:

复制代码 代码如下:

sql>select*fromsys_role_privswhererole='角色名';

1.CONNECT,RESOURCE,DBA

这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。oracle建议用户自己设计数据库管理和安全的权限规划,而不要简单的使用这些预定角色。将来的版本中这些角色可能不会作为预定义角色。

2.DELETE_CATALOG_ROLE,EXECUTE_CATALOG_ROLE,SELECT_CATALOG_ROLE

这些角色主要用于访问数据字典视图和包。

3.EXP_FULL_DATABASE,IMP_FULL_DATABASE

这两个角色用于数据导入导出工具的使用。

4.AQ_USER_ROLE,AQ_ADMINISTRATOR_ROLE

AQ:AdvancedQuery。这两个角色用于oracle高级查询功能。

5.SNMPAGENT

用于oracleenterprisemanager和IntelligentAgent

6.RECOVERY_CATALOG_OWNER

用于创建拥有恢复库的用户。关于恢复库的信息,参考oracle文档《Oracle9iUser-ManagedBackupandRecoveryGuide》

7.HS_ADMIN_ROLE

ADBAusingOracle'sheterogeneousservicesfeatureneedsthisroletoaccessappropriatetablesinthedatadictionary.

三、管理角色

1.建一个角色

复制代码 代码如下:

sql>createrolerole1;

2.授权给角色

复制代码 代码如下:

sql>grantcreateanytable,createproceduretorole1;

3.授予角色给用户

复制代码 代码如下:

sql>grantrole1touser1;

4.查看角色所包含的权限

复制代码 代码如下:

sql>select*fromrole_sys_privs;

5.创建带有口令以角色(在生效带有口令的角色时必须提供口令)

复制代码 代码如下:

sql>createrolerole1identifiedbypassword1;

6.修改角色:是否需要口令

复制代码 代码如下:

sql>alterrolerole1notidentified;

sql>alterrolerole1identifiedbypassword1;


7.设置当前用户要生效的角色

(注:角色的生效是一个什么概念呢?假设用户a有b1,b2,b3三个角色,那么如果b1未生效,则b1所包含的权限对于a来讲是不拥有的,只有角色生效了,角色内的权限才作用于用户,最大可生效角色数由参数MAX_ENABLED_ROLES设定;在用户登录后,oracle将所有直接赋给用户的权限和用户默认角色中的权限赋给用户。)

复制代码 代码如下:

sql>setrolerole1;//使role1生效

sql>setrolerole,role2;//使role1,role2生效

sql>setrolerole1identifiedbypassword1;//使用带有口令的role1生效

sql>setroleall;//使用该用户的所有角色生效

sql>setrolenone;//设置所有角色失效

sql>setroleallexceptrole1;//除role1外的该用户的所有其它角色生效。

sql>select*fromSESSION_ROLES;//查看当前用户的生效的角色。

8.修改指定用户,设置其默认角色

复制代码 代码如下:

sql>alteruseruser1defaultrolerole1;
sql>alteruseruser1defaultroleallexceptrole1;


9.删除角色
复制代码 代码如下:

sql>droprolerole1;

角色删除后,原来拥用该角色的用户就不再拥有该角色了,相应的权限也就没有了。

说明:

1)无法使用WITHGRANTOPTION为角色授予对象权限

2)可以使用WITHADMINOPTION为角色授予系统权限,取消时不是级联



相关阅读:
Linux中的proc目录详细介绍
css+filter实现简单的图片透明效果
实例详解Android解决按钮重复点击问题
Java+Nginx实现POP、IMAP、SMTP邮箱代理服务
Win7使用还原功能找回丢失系统文件的方法
Js实现无刷新删除内容
Win10 TH2正式版秋季更新内容曝光 共有十八处改进
ECMAScript6块级作用域及新变量声明(let)
Win10准正式版10240出现UAC窗口提示问题
最简单的Oracle数据恢复 select as of使用方法
苹果Mac查看硬盘是否开启ACHI模式的方法图解
php实现数组筛选奇数和偶数示例
谈一谈js中的执行环境及作用域
使用getBoundingClientRect方法实现简洁的sticky组件的方法
快速导航
PHP MySQL HTML CSS JavaScript MSSQL AJAX .NET JSP Linux Mac ASP 服务器 SQL jQuery C# C++ java Android IOS oracle MongoDB SQLite wamp 交通频道 作文范文 我有一个好习惯作文350字 锅底 垃圾的呼吁作文400字 嘿,我喜欢你耶 玩开心农场心得体会 雨里请允许我悲伤! 谢谢你给我春天般的温暖——母亲节温馨短信 带着目标上路作文900字 工作总结大全(第207页) “第一书记”的扶贫清单关键在落实 烦恼作文850字 银行面试自我介绍范文,去中国兴业银行面试问题评价技巧:“你有什么业余爱好?” 观〈士兵突击〉有感作文300字 眼镜店销售内勤年终工作总结 初中初一作文500字:人生其实很精彩 相见欢.蜂蝶隐 男女之间有没有真正的友谊 沈石溪动物小说《红豺》主要内容和读后感 五月的12个小时 16岁的雨季 迎面接力赛作文350字 一场篮球赛 倘若我还可以被需要 七月,我的旅途——浮生若梦的西塘 2015年广州高考一模作文:不妨静观作文900字 给志愿者的一封信 《钢铁是怎样炼成的》的读后感 2016-2017学年学校教学工作计划 师生沟通--适当采用幽默 一盒碟片作文1200字 不要一直在自己身上找原因 贺新郎(乙亥春题雁荡山) 李源潮:学习胡总书记教师节讲话心得 抒情散文:愁云恨雨两牵萦 珍惜你眼前的颜色450字 淘气包马小跳读后感600字 小鸟与雄鹰 学校国家公祭日教育活动总结 关于格律诗认识上的几个误区 中学师生书画竞赛活动方案 《爱国诗人陆游》读后感 感谢老师的一段话毕业在即 小学五年级作文750字:选美比赛 大学生积极分子七一入党思想汇报 其实我是 ……--儿童诗歌 公安局副局长述职报告 那儿有一扇门 今天的体育课真是魔鬼顺练啊! 城市的阳光 黑夜,灯光,狗,我

Copyright © 2016 phpStudy |