系統權限:
1、使用GRANT語句向用戶賦予系統權限:
??? GRANT system_privilege TO user_name [ WITH ADMIN OPTION ] ;
??? 注:使用WITH ADMIN OPTION語句后,使用戶可以將相同權限賦給其他用戶。
?
2、使用REVOKE語句撤銷系統權限:
??? REVOKE system_privilege FROM user_name ;
??? 注:當刪除A用戶的權限時,通過A賦予B的權限不會消失。
?
3、任何用戶,都必須有CREATE SESSION權限,才可以連接到數據庫。
?
4、可通過 selectdistinctprivilegefrom dba_sys_privs; 來查詢所有的系統權限列表
??? ANALYZE ANY
??? AUDIT SYSTEM
??? CREATE TABLE
??? DROP PROFILE
??? DROP ANY ROLE
??? ALTER DATABASE
??? DROP ANY INDEX
??? DROP ANY TABLE
??? LOCK ANY TABLE
??? EXECUTE ANY PROCEDURE
??? ……
??? 基本上都是可以顧名思義的,但是權限相對比較多,150項左右。
?
對象權限:
?
1、對象權限賦予語法:
??? GRANT object_privilege ON object_name TO username [ WITH GRANT OPTION ];
??? 注:使用WITH GRANT OPTION語句后,使用戶可以將相同權限賦給其他用戶,與系統權限相同。
?
2、對象權限撤銷語法:
??? REVOKE object_privilege ON object_name FROM username;
??? 注:當刪除A用戶的權限時,通過A賦予B的權限自動消失,與系統權限相反。
?
3、查看具體的對象權限:
???
select
*
from
dba_tab_privs
where
grantee=
'WANGXIAOQI'
;
??
??? select * fromTABLE_PRIVILEGESwhere GRANTEE='WANGXIAOQI';?
???
注1:兩者均可以查看對象權限,只是展現形式不同。
????注2:表名為TABLE_PRIV,但
不光只有table,而是所有object的信息,包括function、procedure、package等。
?
4、object privilege 種類比較少,而且根據對象類型的不同而不同。?
??? 在賦值時可以使用all代替該類型對象的所有權限類型,如:
???
grant
select
,
update
,
delete
,
insert
on
table_name
to
user_name;
???
grant
all
on
table_name
to
user_name;
?
??? 注:對于TABLE,all包括:ALTER、DELETE、INDEX、INSERT、SELECT、UPDATE、REFERENCES、ON COMMIT REFRESH、QUERY REWRITE、DEBUG、FLASHBACK
?
?
角色管理:
?
1、通過role來簡化賦權操作,每個role含有若干項系統權限。role包括系統預定義和自定義兩種。
??? select * from dba_roles; --查詢當前所有ROLE列表,包括自定義
??? select * from dba_role_privs; --查詢某用戶的ROLE權限
??? select * from ROLE_SYS_PRIVS; --查詢當前用戶的ROLE,及其所包含的系統權限
?
2、系統預定義角色:
??? CONNECT:
??????? CREATE VIEW
??????? CREATE TABLE
??????? ALTER SESSION
??????? CREATE CLUSTER
??????? CREATE SESSION
??????? CREATE SYNONYM
??????? CREATE SEQUENCE
??????? CREATE DATABASE LINK
??? RESOURCE:
??????? CREATE TYPE
??????? CREATE TABLE
??????? CREATE CLUSTER
??????? CREATE TRIGGER
??????? CREATE OPERATOR
??????? CREATE SEQUENCE
??????? CREATE INDEXTYPE
??????? CREATE PROCEDURE
??? 另外包括比較重要的ROLE如:DBA、EXP_FULL_DATABASE、IMP_FULL_DATABASE等。
?
?
3、自定義角色:
???
??? 創建ROLE:
??? CREATE ROLE role_name
??? [ NOT IDENTIFIED | IDENTIFIED BY password]
??? 注:IDENTIFIED 表示在修改該ROLE時是否需要提供密碼 <修改,不包括賦權和取消權限>
?
??? 在創建 role 之后,使用 grant 和 revoke 手動設置 role 對應的權限
??? 再使用 grant 和 revoke 將 role 賦給 user
??? 注:可以將 role 賦給 role
?
4、啟用和禁用ROLE:
??? SET ROLE [role [identified by password] |,role [identified by password]...]
??? | ALL [EXCEPT role[,role]...]
??? | NONE ];
??? 注:ALL 表示啟用改用戶的所有角色,NONE表示禁用所有角色。
?
??? 例:
??? 禁用所有角色:setrolenone;
??? 啟用所有角色:setroleall; --role不能有密碼
??? 啟用某個角色:setrole role_test identifiedby test; --有密碼的話
??? 禁用某個角色:setroleallexcept role_test;
??? 注:setrole命令是覆蓋性質的,即不能先啟用一個,再啟用另一個,必須一條命令中全部啟動;
?
5、修改用戶時設置角色:
??? ALTER USER username
??? [default role [role_name[,role_name,...]]
??? | all [except role_name[,role_name,...]]
??? | none ];
?
?
-The End-