Oracle權(quán)限詳解.doc

Oracle的權(quán)限主要包括角色權(quán)限（Role privileges）、系統(tǒng)權(quán)限（System privileges）和對(duì)象權(quán)限（Object privileges）。一、角色權(quán)限角色是一組權(quán)限的集合，將角色賦給用戶，那這個(gè)用戶就擁有這個(gè)角色包含的權(quán)限。在數(shù)據(jù)庫(kù)安裝后，系統(tǒng)會(huì)自動(dòng)創(chuàng)建一些常用的角色，下面簡(jiǎn)單介紹一下這些預(yù)定義角色，角色所包含的權(quán)限可以用語(yǔ)句來(lái)查詢：select * from role_sys_privs where role=角色名;1.CONNECT, RESOURCE, DBA 這些預(yù)定義角色主要是為了向后兼容。其主要是用于數(shù)據(jù)庫(kù)管理。oracle建議用戶自己設(shè)計(jì)數(shù)據(jù)庫(kù)管理和安全的權(quán)限規(guī)劃，而不要簡(jiǎn)單的使用這些預(yù)定角色。將來(lái)的版本中這些角色可能不會(huì)作為預(yù)定義角色。DBA:擁有全部特權(quán)，是系統(tǒng)最高角色權(quán)限，只有DBA才可以創(chuàng)建數(shù)據(jù)庫(kù)結(jié)構(gòu)。RESOURCE:擁有Resource角色權(quán)限的用戶只可以創(chuàng)建實(shí)體，不可以創(chuàng)建數(shù)據(jù)庫(kù)結(jié)構(gòu)。CONNECT:擁有Connect角色權(quán)限的用戶只可以登錄Oracle，不可以創(chuàng)建實(shí)體，不可以創(chuàng)建數(shù)據(jù)庫(kù)結(jié)構(gòu)。對(duì)于普通用戶：授予connect, resource角色權(quán)限。對(duì)于DBA管理用戶：授予connect，resource, dba角色權(quán)限。2.DELETE_CATALOG_ROLE，EXECUTE_CATALOG_ROLE，SELECT_CATALOG_ROLE 這些角色主要用于訪問(wèn)數(shù)據(jù)字典視圖和包。3.EXP_FULL_DATABASE，IMP_FULL_DATABASE 這兩個(gè)角色用于數(shù)據(jù)導(dǎo)入導(dǎo)出工具的使用。4.AQ_USER_ROLE，AQ_ADMINISTRATOR_ROLE 這兩個(gè)角色用于oracle高級(jí)查詢功能。5.SNMPAGENT 用于oracle enterprise manager和Intelligent Agent 6.RECOVERY_CATALOG_OWNER 用于創(chuàng)建擁有恢復(fù)庫(kù)的用戶。7.HS_ADMIN_ROLE異構(gòu)服務(wù)需要這個(gè)角色去訪問(wèn)數(shù)據(jù)字典中的表。.補(bǔ)充：管理角色權(quán)限1.建一個(gè)角色 sqlcreate role role1; 2.授予權(quán)限給角色 sqlgrant create any table,create procedure to role1; 3.授予角色給用戶 sqlgrant role1 to user1; 4.查看角色所包含的權(quán)限 sqlselect * from role_sys_privs; 5.創(chuàng)建帶有口令以角色(在生效帶有口令的角色時(shí)必須提供口令) sqlcreate role role1 identified by password1; 6.修改角色：是否需要口令 sqlalter role role1 not identified; sqlalter role role1 identified by password1; 7.設(shè)置當(dāng)前用戶要生效的角色 (注：角色的生效是一個(gè)什么概念呢？假設(shè)用戶a有b1,b2,b3三個(gè)角色，那么如果b1未生效，則b1所包含的權(quán)限對(duì)于a來(lái)講是不擁有的，只有角色生效了，角色內(nèi)的權(quán)限才作用于用戶，最大可生效角色數(shù)由參數(shù)MAX_ENABLED_ROLES設(shè)定；在用戶登錄后，oracle將所有直接賦給用戶的權(quán)限和用戶默認(rèn)角色中的權(quán)限賦給用戶。） sqlset role role1;/使role1生效 sqlset role role1,role2;/使role1,role2生效 sqlset role role1 identified by password1;/使用帶有口令的role1生效 sqlset role all;/使用該用戶的所有角色生效 sqlset role none;/設(shè)置所有角色失效 sqlset role all except role1;/除role1外的該用戶的所有其它角色生效。 sqlselect * from SESSION_ROLES;/查看當(dāng)前用戶的生效的角色。 8.修改指定用戶，設(shè)置其默認(rèn)角色 sqlalter user user1 default role role1; sqlalter user user1 default role all except role1; 9.刪除角色 sqldrop role role1; 角色刪除后，原來(lái)?yè)碛迷摻巧挠脩艟筒辉贀碛性摻巧?，相?yīng)的權(quán)限也就沒(méi)有了。 說(shuō)明: 1)無(wú)法使用WITH GRANT OPTION為角色授予對(duì)象權(quán)限 2)可以使用WITH ADMIN OPTION 為角色授予系統(tǒng)權(quán)限,取消時(shí)不是級(jí)聯(lián)二、系統(tǒng)權(quán)限所謂系統(tǒng)權(quán)限，就是oracle里已經(jīng)寫(xiě)死的權(quán)限，這些權(quán)限，我們是不能自己去擴(kuò)展的，已經(jīng)在oracle里全部規(guī)定好了，我們可以通過(guò)查看system_privilege_map這個(gè)數(shù)據(jù)字典表來(lái)查看所有的oracle系統(tǒng)內(nèi)置的權(quán)限。alter any cluster 修改任意簇的權(quán)限alter any index 修改任意索引的權(quán)限alter any role 修改任意角色的權(quán)限alter any sequence 修改任意序列的權(quán)限alter any snapshot 修改任意快照的權(quán)限alter any table 修改任意表的權(quán)限alter any trigger 修改任意觸發(fā)器的權(quán)限alter cluster 修改擁有簇的權(quán)限alter database 修改數(shù)據(jù)庫(kù)的權(quán)限alter procedure 修改擁有的存儲(chǔ)過(guò)程權(quán)限alter profile 修改資源限制簡(jiǎn)表的權(quán)限alter resource cost 設(shè)置佳話資源開(kāi)銷的權(quán)限alter rollback segment 修改回滾段的權(quán)限alter sequence 修改擁有的序列權(quán)限alter session 修改數(shù)據(jù)庫(kù)會(huì)話的權(quán)限alter sytem 修改數(shù)據(jù)庫(kù)服務(wù)器設(shè)置的權(quán)限alter table 修改擁有的表權(quán)限alter tablespace 修改表空間的權(quán)限alter user 修改用戶的權(quán)限analyze 使用analyze命令分析數(shù)據(jù)庫(kù)中任意的表、索引和簇audit any 為任意的數(shù)據(jù)庫(kù)對(duì)象設(shè)置審計(jì)選項(xiàng)audit system 允許系統(tǒng)操作審計(jì)backup any table 備份任意表的權(quán)限become user 切換用戶狀態(tài)的權(quán)限commit any table 提交表的權(quán)限create any cluster 為任意用戶創(chuàng)建簇的權(quán)限create any index 為任意用戶創(chuàng)建索引的權(quán)限create any procedure 為任意用戶創(chuàng)建存儲(chǔ)過(guò)程的權(quán)限create any sequence 為任意用戶創(chuàng)建序列的權(quán)限create any snapshot 為任意用戶創(chuàng)建快照的權(quán)限create any synonym 為任意用戶創(chuàng)建同義名的權(quán)限create any table 為任意用戶創(chuàng)建表的權(quán)限create any trigger 為任意用戶創(chuàng)建觸發(fā)器的權(quán)限create any view 為任意用戶創(chuàng)建視圖的權(quán)限create cluster 為用戶創(chuàng)建簇的權(quán)限create database link 為用戶創(chuàng)建的權(quán)限create procedure 為用戶創(chuàng)建存儲(chǔ)過(guò)程的權(quán)限create profile 創(chuàng)建資源限制簡(jiǎn)表的權(quán)限create public database link 創(chuàng)建公共數(shù)據(jù)庫(kù)鏈路的權(quán)限create public synonym 創(chuàng)建公共同義名的權(quán)限create role 創(chuàng)建角色的權(quán)限create rollback segment 創(chuàng)建回滾段的權(quán)限create session 創(chuàng)建會(huì)話的權(quán)限create sequence 為用戶創(chuàng)建序列的權(quán)限create snapshot 為用戶創(chuàng)建快照的權(quán)限create synonym 為用戶創(chuàng)建同義名的權(quán)限create table 為用戶創(chuàng)建表的權(quán)限create tablespace 創(chuàng)建表空間的權(quán)限create user 創(chuàng)建用戶的權(quán)限create view 為用戶創(chuàng)建視圖的權(quán)限delete any table 刪除任意表行的權(quán)限delete any view 刪除任意視圖行的權(quán)限delete snapshot 刪除快照中行的權(quán)限delete table 為用戶刪除表行的權(quán)限delete view 為用戶刪除視圖行的權(quán)限drop any cluster 刪除任意簇的權(quán)限drop any index 刪除任意索引的權(quán)限drop any procedure 刪除任意存儲(chǔ)過(guò)程的權(quán)限drop any role 刪除任意角色的權(quán)限drop any sequence 刪除任意序列的權(quán)限drop any snapshot 刪除任意快照的權(quán)限drop any synonym 刪除任意同義名的權(quán)限drop any table 刪除任意表的權(quán)限drop any trigger 刪除任意觸發(fā)器的權(quán)限drop any view 刪除任意視圖的權(quán)限drop profile 刪除資源限制簡(jiǎn)表的權(quán)限drop public cluster 刪除公共簇的權(quán)限drop public database link 刪除公共數(shù)據(jù)鏈路的權(quán)限drop public synonym 刪除公共同義名的權(quán)限drop rollback segment 刪除回滾段的權(quán)限drop tablespace 刪除表空間的權(quán)限drop user 刪除用戶的權(quán)限execute any procedure 執(zhí)行任意存儲(chǔ)過(guò)程的權(quán)限execute function 執(zhí)行存儲(chǔ)函數(shù)的權(quán)限execute package 執(zhí)行存儲(chǔ)包的權(quán)限execute procedure 執(zhí)行用戶存儲(chǔ)過(guò)程的權(quán)限force any transaction 管理未提交的任意事務(wù)的輸出權(quán)限force transaction 管理未提交的用戶事務(wù)的輸出權(quán)限grant any privilege 授予任意系統(tǒng)特權(quán)的權(quán)限grant any role 授予任意角色的權(quán)限index table 給表加索引的權(quán)限insert any table 向任意表中插入行的權(quán)限insert snapshot 向快照中插入行的權(quán)限insert table 向用戶表中插入行的權(quán)限insert view 向用戶視圖中插行的權(quán)限lock any table 給任意表加鎖的權(quán)限manager tablespace 管理（備份可用性）表空間的權(quán)限r(nóng)eferences table 參考表的權(quán)限r(nóng)estricted session 創(chuàng)建有限制的數(shù)據(jù)庫(kù)會(huì)話的權(quán)限select any sequence 使用任意序列的權(quán)限select any table 使用任意表的權(quán)限select snapshot 使用快照的權(quán)限select sequence 使用用戶序列的權(quán)限select table 使用用戶表的權(quán)限select view 使用視圖的權(quán)限unlimited tablespace 對(duì)表空間大小不加限制的權(quán)限update any table 修改任意表中行的權(quán)限update snapshot 修改快照中行的權(quán)限update table 修改用戶表中的行的權(quán)限update view 修改視圖中行的權(quán)限 enqueue any queue 就是向所有隊(duì)列中加入消息的權(quán)限； dequeue any queue 就是可以向所有隊(duì)列使消息出隊(duì)的權(quán)限； manage any queue 就是在所有所有方案下，允許運(yùn)行DBMS_AQADM的權(quán)限1.查看所有用戶：select * from dba_users;select * from all_users;select * from user_users;2.查看用戶或角色系統(tǒng)權(quán)限：select * from dba_sys_privs;select * from user_sys_privs;3.查看用戶對(duì)象權(quán)限：select * from dba_tab_privs;select * from all_tab_privs;select * from user_tab_privs;4.查看所有角色：select * from dba_roles;5.查看用戶或角色所擁有的角色：select * from dba_role_privs;select * from user_role_privs;6.注意：(1)以下語(yǔ)句可以查看Oracle提供的系統(tǒng)權(quán)限select name from sys.system_privilege_map(2)查看一個(gè)用戶的所有系統(tǒng)權(quán)限(包含角色的系統(tǒng)權(quán)限)select privilege from dba_sys_privs where grantee=USER_NAMEunionselect privilege from dba_sys_privs where grantee in (select granted_role