oracle 權限詳解

Oracle 權限設置

一、權限分類

系統權限：系統規定用戶使用數據庫的權限。（系統權限是對用戶而言)。

實體權限：某種權限用戶對其它用戶的表或視圖的存取權限。（是針對表或視圖而言的）。

二、系統權限管理

1、系統權限分類：
DBA: 擁有全部特權，是系統最高權限，只有DBA纔可以創建數據庫結構。
RESOURCE:擁有Resource權限的用戶只可以創建實體，不可以創建數據庫結構。
CONNECT:擁有Connect權限的用戶只可以登錄Oracle，不可以創建實體，不可以創建數據庫結構。
對於普通用戶：授予connect, resource權限。
對於DBA管理用戶：授予connect，resource, dba權限。
2、系統權限授權命令：
[系統權限只能由DBA用戶授出：sys, system(最開始只能是這兩個用戶)]
授權命令：SQL> grant connect, resource, dba to 用戶名1 [,用戶名2]...;
[普通用戶通過授權可以具有與system相同的用戶權限，但永遠不能達到與sys用戶相同的權限，system用戶的權限也可以被回收。]
例：
SQL> connect system/manager
SQL> Create user user50 identified by user50;
SQL> grant connect, resource to user50;
查詢用戶擁有哪裏權限：
SQL> select * from dba_role_privs;
SQL> select * from dba_sys_privs;
SQL> select * from role_sys_privs;
刪除用戶：SQL> drop user 用戶名 cascade;  //加上cascade則將用戶連同其創建的東西全部刪除
3、系統權限傳遞：
增加WITH ADMIN OPTION選項，則得到的權限可以傳遞。
SQL> grant connect, resorce to user50 with admin option;  //可以傳遞所獲權限。
4、系統權限回收：系統權限只能由DBA用戶回收
命令：SQL> Revoke connect, resource from user50;

系統權限無級聯，即A授予B權限，B授予C權限，如果A收回B的權限，C的權限不受影響；系統權限可以跨用戶回收，即A可以直接收回C用戶的權限。

三、實體權限管理

1、實體權限分類：select, update, insert, alter, index, delete, all  //all包括所有權限
execute  //執行存儲過程權限
user01:
SQL> grant select, update, insert on product to user02;
SQL> grant all on product to user02;
user02:
SQL> select * from user01.product;
// 此時user02查user_tables，不包括user01.product這個表，但如果查all_tables則可以查到，因爲他可以訪問。

3. 將表的操作權限授予全體用戶：
SQL> grant all on product to public;  // public表示是所有的用戶，這裏的all權限不包括drop。
[實體權限數據字典]:
SQL> select owner, table_name from all_tables; // 用戶可以查詢的表
SQL> select table_name from user_tables;  // 用戶創建的表
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 獲權可以存取的表（被授權的）
SQL> select grantee, owner, table_name, privilege from user_tab_privs;   // 授出權限的表(授出的權限)
4. DBA用戶可以操作全體用戶的任意基表(無需授權，包括刪除)：
DBA用戶：
SQL> Create table stud02.product(
 id number(10),
 name varchar2(20));
SQL> drop table stud02.emp;
SQL> create table stud02.employee
 as
 select * from scott.emp;
 
5. 實體權限傳遞(with grant option)：
user01:
SQL> grant select, update on product to user02 with grant option; // user02得到權限，並可以傳遞。
6. 實體權限回收：
user01:
SQL>Revoke select, update on product from user02;  //傳遞的權限將全部丟失。

四、as Normal,Sysdba和Sysoper

normal 是普通用戶 
sysdba擁有最高的系統權限，登陸後是 sys

sysoper主要用來啓動、關閉數據庫，sysoper 登陸後用戶是 public.

當前的系統用戶屬於ora_dba組,默認操作系統驗證,不驗證用戶名和密碼

如果不屬於ora_dba組,即使用數據庫驗證,驗證用戶名和密碼的合法性

sysdba和sysoper屬於system privilege，也稱爲administrative privilege.

注意：
system如果正常登錄，它其實就是一個普通的dba用戶，但是如果以as sysdba登錄，其結果實際上它是作爲sys用戶登錄的，這一點類似Linux裏面的sudo的感覺，從登錄信息裏面我們可以看出來。因此在as sysdba連接數據庫後，創建的對象實際上都是生成在sys中的。其他用戶也是一樣，如果 as sysdba登錄，也是作爲sys用戶登錄的，看以下實驗：
SQL> create user strong identified by strong;
用戶已創建。
SQL> conn as sysdba;
已連接。
SQL> show user;
USER 爲 "SYS"
SQL> create table test(a int);
表已創建。
SQL> select owner from dba_tables where table_name='test';
未選定行 //因爲創建表時oracle自動轉爲大寫，所以用小寫查的時候是不存在的；
SQL> select owner from dba_tables where table_name='TEST';
OWNER
------------------------------
SYS

注:
user_tables 是當前用戶所擁有的表
all_tables 是所有用戶的所有表
dba_tables 是具有DBA權限的用戶所擁有的表 

總之：一般情況下，oracle用戶權限都是通過角色來賦予的，另外，oracle登錄時也可以控制用戶的權限，例如 as sysdba,實際上是以最高的系統管理員身份登錄，擁有最高權限；如果as nomal這種方式登錄時，就是具有創建用戶時所賦予的權限和角色；一般sysdba、sysoper這兩個登錄權限只是適用於管理員使用。