Oracle权限和角色管理概述
Object Privileges 权限可以级联收回revoke select on scott.empfrom sj;-----------通过sj再赋予其他用户的权限在此语句执行后
Oracle的权限有两种:
system privileges:用户所做的操作会对数据字典造成影响;
object privileges:用户所做的操作会对数据造成影响;
System Privilege:
大概有200多个系统权限,常用的系统权限包括:
GRANTprivilege1,privilege2 TO username;
grantcreate table to scott with admin option;
connectscott/tiger;
grantcreate table to sj;
用户scott只能在自己的schema中建立表
用户sj也只能在自己的schema中建立表
如果将scott的该权限收获,sj的权限将依旧存在;
--查看用户所拥有的权限,并且看其是否可以继续授权
select * fromdba_sys_privs where grantee='SJ';
授予any table权限的,任然不能操作SYS表空间中的表;
Object Privileges
可以将select,update,delete,insert,alter,execute等DML操作权限赋给用户,可以针对表,也可以针对表中的某些列,例:
grantselect on scott.emp to sj;
grant update (order_status) on scott.orders to sj;--在列这个级别分配会造出严重的系统负担;
grant allon scott.regions to sj;
Object Privileges 权限可以级联收回
revoke select on scott.empfrom sj;-----------通过sj再赋予其他用户的权限在此语句执行后都将收回;
创建和管理角色
--查看用户所拥有的角色,并查看是否可以继续授权
select * fromdba_role_privs where grantee='SJ';
A role isbundle of system and/or object privileges that can be granted and revoked as aunit, and having been granted can betemporarily activated or deactivated with in a session;
CREATE ROLE rolename;
角色的名字不能和现有用户的用户名重复,,也不能和现有的角色名重复;
createrole hr_junior;
grantcreate session to hr_junior;
grantselect on hr.regions to hr_junior
createrole hr_senior;
granthr_junior to hr_senior with admin option;
grantupdate on hr.regions to hr_senior;
createrole hr_manager;
granthr_senior to hr_manager with admin option;
grant allon hr.regions to hr_manager;
和system privileges权限的收回方式一样,role的收回也是不能级联进行的;
预先定义好的角色:
there isalso a predefined role PUBLIC, which is always granted to every database useraccount;
例:grant select on hr.regions topublic;------通过执行这个语句,系统中的所有用户都可以获得对这个表的select权限;
--将一个用户的默认角色失效
ALTER UESR sj DEFAULT ROLE NONE;--当sj用户登录的时候,它没有任何可用的角色,甚至不能登录;
grant connect to sj --将登录角色赋给sj
alter user sj default role connect;---将登录角色作为sj的默认角色
SET ROLE rolename;
CTRATEROLE rolename IDENTIFIED USING procedure_name;