Decode360's Blog

业精于勤而荒于嬉 QQ:150355677 MSN:decode360@hotmail.com

  BlogJava :: 首页 :: 新随笔 :: 联系 ::  :: 管理 ::
  397 随笔 :: 33 文章 :: 29 评论 :: 0 Trackbacks
Oracle用户权限
 
 
    对用户的管理主要还是进行权限上的设置。这部分的安全性问题就比较大了,有很多可以讲的。其实可以参看一下Ask Tom中的相关问题。这里只是简单的介绍一下设置的原理,以及一些相关的数据字典。
 
 
系统权限:

1、使用GRANT语句向用户赋予系统权限:
    GRANT system_privilege TO user_name [ WITH ADMIN OPTION ] ;
    注:使用WITH ADMIN OPTION语句后,使用户可以将相同权限赋给其他用户。
 
2、使用REVOKE语句撤销系统权限:
    REVOKE system_privilege FROM user_name ;
    注:当删除A用户的权限时,通过A赋予B的权限不会消失。
 
3、任何用户,都必须有CREATE SESSION权限,才可以连接到数据库。
 
4、可通过 selectdistinctprivilegefrom dba_sys_privs; 来查询所有的系统权限列表
    ANALYZE ANY
    AUDIT SYSTEM
    CREATE TABLE
    DROP PROFILE
    DROP ANY ROLE
    ALTER DATABASE
    DROP ANY INDEX
    DROP ANY TABLE
    LOCK ANY TABLE
    EXECUTE ANY PROCEDURE
    ……
    基本上都是可以顾名思义的,但是权限相对比较多,150项左右。
 

对象权限:
 
1、对象权限赋予语法:
    GRANT object_privilege ON object_name TO username [ WITH GRANT OPTION ];
    注:使用WITH GRANT OPTION语句后,使用户可以将相同权限赋给其他用户,与系统权限相同
 
2、对象权限撤销语法:
    REVOKE object_privilege ON object_name FROM username;
    注:当删除A用户的权限时,通过A赋予B的权限自动消失,与系统权限相反
 
3、查看具体的对象权限:
 
    select * from dba_tab_privs where grantee= 'WANGXIAOQI' ;  
    select * fromTABLE_PRIVILEGESwhere GRANTEE='WANGXIAOQI'; 
    1:两者均可以查看对象权限,只是展现形式不同。
    注2:表名为TABLE_PRIV,但 不光只有table,而是所有object的信息,包括function、procedure、package等。
 
4、object privilege 种类比较少,而且根据对象类型的不同而不同。
 
    在赋值时可以使用all代替该类型对象的所有权限类型,如:

    grant select , update , delete , insert on table_name to user_name;

    grant all on table_name to user_name;

 
    注:对于TABLE,all包括:ALTER、DELETE、INDEX、INSERT、SELECT、UPDATE、REFERENCES、ON COMMIT REFRESH、QUERY REWRITE、DEBUG、FLASHBACK
 
 

角色管理:
 
1、通过role来简化赋权操作,每个role含有若干项系统权限。role包括系统预定义自定义两种。
 
    select * from dba_roles; --查询当前所有ROLE列表,包括自定义
    select * from dba_role_privs; --查询某用户的ROLE权限
    select * from ROLE_SYS_PRIVS; --查询当前用户的ROLE,及其所包含的系统权限
 
2、系统预定义角色:
 
    CONNECT:
        CREATE VIEW
        CREATE TABLE
        ALTER SESSION
        CREATE CLUSTER
        CREATE SESSION
        CREATE SYNONYM
        CREATE SEQUENCE
        CREATE DATABASE LINK
    RESOURCE:
        CREATE TYPE
        CREATE TABLE
        CREATE CLUSTER
        CREATE TRIGGER
        CREATE OPERATOR
        CREATE SEQUENCE
        CREATE INDEXTYPE
        CREATE PROCEDURE
 
    另外包括比较重要的ROLE如:DBA、EXP_FULL_DATABASE、IMP_FULL_DATABASE等。
 
 
3、自定义角色:
   
    创建ROLE:
    CREATE ROLE role_name
    [ NOT IDENTIFIED | IDENTIFIED BY password]
    注:IDENTIFIED 表示在修改该ROLE时是否需要提供密码 <修改,不包括赋权和取消权限>
 
    在创建 role 之后,使用 grant 和 revoke 手动设置 role 对应的权限
    再使用 grant 和 revoke 将 role 赋给 user
    注:可以将 role 赋给 role
 
4、启用和禁用ROLE:
 
    SET ROLE [role [identified by password] |,role [identified by password]...]
    | ALL [EXCEPT role[,role]...]
    | NONE ];
    注:ALL 表示启用改用户的所有角色,NONE表示禁用所有角色。
 
    例:
    禁用所有角色:setrolenone;
    启用所有角色:setroleall; --role不能有密码
    启用某个角色:setrole role_test identifiedby test; --有密码的话
    禁用某个角色:setroleallexcept role_test;
    注:setrole命令是覆盖性质的,即不能先启用一个,再启用另一个,必须一条命令中全部启动;
 
5、修改用户时设置角色:
 
    ALTER USER username
    [default role [role_name[,role_name,...]]
    | all [except role_name[,role_name,...]]
    | none ];
 
 
 
posted on 2008-10-02 22:36 decode360 阅读(349) 评论(0)  编辑  收藏 所属分类: 07.Oracle

只有注册用户登录后才能发表评论。


网站导航: