Oracle用户角色权限管理
Oracle用户角色权限管理
|
(一)什么叫用户(user):
A user is a name defined in the database that can connect to and access objects. 用户是用连接数据库和访问数据库对象的。(用户是用来连接数据库访问数据库)。 (二)什么叫模式(schema): A schema is a collection of database objects (used by a user.). Schema objects are the logical structures that directly refer to the database’s data. 模式是数据库对象的集合。模式对象是数据库数据的逻辑结构。 (把数据库对象用模式分开成不同的逻辑结构)。 (三)用户(user)与模式(schema)的区别: Schemas and users help database administrators manage database security. 用户是用来连接数据库对象。而模式用是用创建管理对象的。模式跟用户在oracle 是一对一的关系。 ( 不过db2却不同,db2 一个用户可以对应多个模式,db2 用户是系统,他首先必须获得系统用户才能成为数据库用户,也就是数据库用户就是系统用户,只有模式才是数据库类似用户。有兴趣可以去研究。这里就不跑题了,这也是db2特有的)。 从定义中我们可以看出schema为数据库对象的集合,为了区分各个集合,我们需要给这个集合起个名字,这些名字就是我们在企业管理器的方案下看到的许多类似用户名的节点,这些类似用户名的节点其实就是一个schema,schema里面包含了各种对象如tables, views, sequences, stored procedures, synonyms, indexes, clusters, and database links。一个用户一般对应一个schema,该用户的schema名等于用户名,并作为该用户缺省schema。这也就是我们在企业管理器的方案下看到schema名都为数据库用户名的原因。Oracle数据库中不能新创建一个schema,要想创建一个schema,只能通过创建一个用户的方法解决(Oracle中虽然有create schema语句,但是它并不是用来创建一个schema的),在创建一个用户的同时为这个用户创建一个与用户名同名的schem并作为该用户的缺省shcema。即schema的个数同user的个数相同,而且schema名字同user名字一一 对应并且相同,所有我们可以称schema为user的别名,虽然这样说并不准确,但是更容易理解一些。一个用户有一个缺省的schema,其schema名就等于用户名,当然一个用户还可以使用其他的schema。如果我们访问一个表时,没有指明该表属于哪一个schema中的,系统就会自动给我们在表上加上缺省的sheman名。比如我们在访问数据库时,访问scott用户下的emp表,通过select * from emp; 其实,这sql语句的完整写法为select * from scott.emp。在数据库中一个对象的完整名称为schema.object,而不属user.object。类似如果我们在创建对象时不指定该对象的schema,在该对象的schema为用户的缺省schema。这就像一个用户有一个缺省的表空间,但是该用户还可以使用其他的表空间,如果我们在创建对象时不指定表空间,则对象存储在缺省表空间中,要想让对象存储在其他表空间中,我们需要在创建对象时指定该对象的表空间。 总结:对oracle 来说,用户就是模式。模式就是用户。(以上全是废话)。 (四)权限。一个用户权限由系统权限。和用户对象权限组成。 1.系统权限: 系统权限包括:(由于太多,为了文章的篇幅所以只把查询语句提供。你提供具体的系统全部权限了) SQL> select distinct PRIVILEGE from dba_sys_privs order by PRIVILEGE; 与系统权限相关的视图: dba_sys_privs(所有系统权限) user_sys_privs.(用户拥有的系统权限)。 用户对象权限: 一个模式创建的对象,或者其他模式赋予的并授予了管理劝降(adm)的对象。如: grant select,insert ,update ,delete on table_name to schema_name.这样就授予了一个用户对象权限。 与用户权限相关的视图。 user_tab_privs;(这世界上最恶心的试图,初一看还以为就只针对表的用户权限,不然其实他包括过程,包体,函数,试图等对象所有对象的用户权限,真想把oracle 命名的那仁兄给阉了,浪费我宝贵的时间)。 如:SQL> select * from USER_TAB_PRIVS where GRANTOR='TESTDB' AND PRIVILEGE='EXECUTE'; 系统权限与用户对象权限的区别: 系统权限是广义的。是相对整个对象的。而用户对象权限他只针对单个或者,一些对象。 系统权限例子: grant create table to user. 用户对象权限例子: grant select on table_name to schema_name; 与用户对象权限相关的试图: 角色: 角色就是一些权限的集合: 为了方便管理,我们把某些常用的权限组织成一个集合。赋予角色。然后把角色赋予用户。提高管理的效率。例如创建一个数据库某个模式,某几个用户下的的只读用户,可读可插入用户,等等。在实质生产中还是有很大的意义。 1.创建角色,不指定密码: create role testrole; 2.创建角色,指定密码: create role testrole identified by tanfufa; 3.修改角色: alter role testrole identified by luqiaoling; 给角色授予权限。 Grant select on t1 to testrole; Grant select on t2 to testrole; Grant select on t3 to testrole; 把角色赋予用户:(特别说明,授予角色不是实时的。如下:) grant testrole to testdb; 起用角色:给用户赋予角色,角色并不会立即起作用。 1.角色不能立即起作用。必须下次断开此次连接,下次连接才能起作用。 2.或者执行命令:有密码的角色set role testrole identified by tanfufa 立即生效; 3.无密码的角色:set role testrole;或set role all except rolename_withpassword. 把角色赋予角色,角色嵌套。 create role testrole1; grant select on t1 to testrole1; create role testrole2; grant testrole1 to testrole2; grant r2 to testdb; 角色管理: 与角色有关系的视图: 所有角色: select * from dba_roles; 当前用户scott有哪些角色: select * from session_roles; 建立角色模板:只举一个例子。大家去触类旁通。 只读用户角色的建立的脚本: 1.授予某模式下对象读权限给角色。 SET PAGESIZE 0 SET FEEDBACK OFF SET VERIFY OFF SPOOL s.sql SELECT 'GRANT SELECT ON "' || u.object_name || '" TO &1;' FROM user_objects u WHERE u.object_type IN ('TABLE','VIEW','SEQUENCE') AND NOT EXISTS (SELECT '1' FROM all_tab_privs a WHERE a.grantee = UPPER('&1') AND a.privilege = 'SELECT' AND a.table_name = u.object_name); SPOOL OFF -- Comment out following line to prevent immediate run @s.sql SET PAGESIZE 14 SET FEEDBACK ON SET VERIFY ON 2.为模式权限对象创建同意词。 SET PAGESIZE 0 SET FEEDBACK OFF SET VERIFY OFF SPOOL temp.sql SELECT 'CREATE SYNONYM "' || a.table_name || '" FOR "' || a.owner || '"."' || a.table_name || '";' FROM all_tables a WHERE NOT EXISTS (SELECT '1' FROM user_synonyms u WHERE u.synonym_name = a.table_name AND u.table_owner = UPPER('&1')) AND a.owner = UPPER('&1'); SPOOL OFF -- Comment out following line to prevent immediate run @temp.sql SET PAGESIZE 14 SET FEEDBACK ON SET VERIFY ON |
浙公网安备 33010602011771号