Oracle 用戶及角色 介紹

1、一.用戶管理1.1建立用戶（數(shù)據(jù)庫驗(yàn)證）CREATE USER DAVE IDENTIFIED BY pwd DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 5m ON users;1.2修改用戶ALTER USER DAVE QUOTA 0 ON SYSTEM;1.3刪除用戶DROP USER DAVE;DROP USER DAVE CASCADE;1.4顯示用戶信息SELECT 火 FROM DBA_USERSSELECT 火 FROM DBA_TS_QUOTAS.系統(tǒng)權(quán)限系統(tǒng)權(quán)限作用CREATE SESSION連接到數(shù)據(jù)庫

2、CREATE TABLE建表CREATE TABLESPACE建立表空間CREATE VIEW建立視圖CREATE SEQUENCE建立序列CREATE USER建立用戶系統(tǒng)權(quán)限是指執(zhí)行特定類型SQL命令的權(quán)利，用于控制用戶可以執(zhí)行的一個(gè)或一類數(shù)據(jù)庫操作。（新建用 戶沒有任何權(quán)限）2.1授予系統(tǒng)權(quán)限GRANT CREATE SESSION,CREATE TABLE TO DAVE;GRANT CREATE SESSION TO DAVE WITH ADMIN OPTION;選項(xiàng)：ADMIN OPTION使該用戶具有轉(zhuǎn)授系統(tǒng)權(quán)限的權(quán)限。2.2 顯示系統(tǒng)權(quán)限查看所有系統(tǒng)權(quán)限：Select * fr

3、om system_privilege_map;顯示用戶所具有的系統(tǒng)權(quán)限：Select * from dba_sys_privs;顯示當(dāng)前用戶所具有的系統(tǒng)權(quán)限：Select * from user_sys_privs;顯示當(dāng)前會話所具有的系統(tǒng)權(quán)限：Select * from session_privs;2.3收回系統(tǒng)權(quán)限REVOKE CREATE TABLE FROM DAVE;REVOKE CREATE SESSION FROM DAVE;三角色： 角色是一組相關(guān)權(quán)限的命名集合，使用角色最主要的目的是簡化權(quán)限管理。3.1預(yù)定義角色。CONNECT 自動建立，包含以下權(quán)限:ALTER SESS

4、ION、CREATE CLUSTER、CREATE DATABASELINK、 CREATE SEQUENCE、CREATE SESSION、CREATE SYNONYM、CREATE TABLE、CREATEVIEW。 RESOURCE 自動建立，包含以下權(quán)限：CREATE CLUSTER、CREATE PROCEDURE、CREATE SEQUENCE、CREATE TABLE、CREATE TRIGGR。3.2顯示角色信息，ROLE_SYS_PRIVSROLE_TAB_PRIVSROLE_ROLE_PRIVSSESSION_ROLESUSER_ROLE_PRIVSDBA_ROLES四.O

5、racle用戶角色每個(gè)Oracle用戶都有一個(gè)名字和口令，并擁有一些由其創(chuàng)建的表、視圖和其他資源。Oracle角色(role)就是一組權(quán)限(privilege)(或者是每個(gè)用戶根據(jù)其狀態(tài)和條件所需的訪問類型)。用戶 可以給角色授予或賦予指定的權(quán)限，然后將角色賦給相應(yīng)的用戶。一個(gè)用戶也可以直接給其他用戶授權(quán)。數(shù)據(jù)庫系統(tǒng)權(quán)限(Database System Privilege)允許用戶執(zhí)行特定的命令集。例如，CREATE TABLE權(quán) 限允許用戶創(chuàng)建表，GRANT ANY PRIVILEGE權(quán)限允許用戶授予任何系統(tǒng)權(quán)限。數(shù)據(jù)庫對象權(quán)限(Database Object Privilege)使得用戶能

6、夠?qū)Ω鱾€(gè)對象進(jìn)行某些操作。例如DELETE權(quán) 限允許用戶刪除表或視圖的行，SELECT權(quán)限允許用戶通過select從表、視圖、序列(sequences)或快 照(snapshots)中查詢信息。4.1創(chuàng)建用戶Oracle內(nèi)部有兩個(gè)建好的用戶：SYSTEM和SYS。用戶可直接登錄到SYSTEM用戶以創(chuàng)建其他用戶，因 為SYSTEM具有創(chuàng)建別的用戶的權(quán)限。在安裝Oracle時(shí)，用戶或系統(tǒng)管理員首先可以為自己建立一個(gè)用 戶。例如：create user user01 identified by u01;該命令還可以用來設(shè)置其他權(quán)限。要改變一個(gè)口令，可以使用alter user命令：alter use

7、r user01 identified by usr01;現(xiàn)在user01的口令已由“u01”改為“usr01”。除了 alter user命令以外，用戶還可以使用password命令。如果使用password命令，用戶輸入的新口令 將不在屏幕上顯示。有dba特權(quán)的用戶可以通過password命令改變?nèi)魏纹渌脩舻目诹?；其他用戶只?改變自己的口令。當(dāng)用戶輸入password命令時(shí)，系統(tǒng)將提示用戶輸入舊口令和新口令，如下所示：passwordChanging password for user01Old password:New password:Retype new password:當(dāng)成功

8、地修改了口令時(shí)，用戶會得到如下的反饋：Password changed4.2刪除用戶刪除用戶，可以使用drop user命令，如下所示：drop user user01;如果用戶擁有對象，則不能直接刪除，否則將返回一個(gè)錯(cuò)誤值。指定關(guān)鍵字CASCADE，可刪除用戶所有 的對象，然后再刪除用戶。下面的例子用來刪除用戶與其對象：drop user user01 CASCADE;4.3 3種標(biāo)準(zhǔn)角色Oracle為了兼容以前的版本，提供了三種標(biāo)準(zhǔn)的角色（role）： CONNECT RESOURCE和DBA。CONNECT Role（連接角色）臨時(shí)用戶，特別是那些不需要建表的用戶，通常只賦予他們CONN

9、ECT roleoCONNECT是使用Oracle 的簡單權(quán)限，這種權(quán)限只有在對其他用戶的表有訪問權(quán)時(shí)，包括select、insert、update和delete等，才 會變得有意義。擁有CONNECT role的用戶還能夠創(chuàng)建表、視圖、序列（sequence）、簇（cluster）、 同義詞（synonym ）、會話（session）和與其他數(shù)據(jù)庫的鏈（link）。RESOURCE Role（資源角色）更可靠和正式的數(shù)據(jù)庫用戶可以授予RESOURCE role。RESOURCE提供給用戶另外的權(quán)限以創(chuàng)建 他們自己的表、序列、過程（procedure）、觸發(fā)器（trigger）、索引（inde

10、x）和簇（cluster）。DBA Role（數(shù)據(jù)庫管理員角色）DBA role擁有所有的系統(tǒng)權(quán)限-包括無限制的空間限額和給其他用戶授予各種權(quán)限的能力。SYSTEM由DBA用戶擁有。一些DBA經(jīng)常使用的典型權(quán)限。grant （授權(quán)）命令grant connect, resource to user01;revoke （撤消）權(quán)限r(nóng)evoke connect, resource from user01;一個(gè)具有DBA角色的用戶可以撤消任何別的用戶甚至別的DBA的CONNECT、RESOURCE和DBA的 其他權(quán)限。當(dāng)然，這樣是很危險(xiǎn)的，因此，除非真正需要，DBA權(quán)限不應(yīng)隨便授予那些不是很重要的一

11、般 用戶。撤消一個(gè)用戶的所有權(quán)限，并不意味著從Oracle中刪除了這個(gè)用戶，也不會破壞用戶創(chuàng)建的任何表； 只是簡單禁止其對這些表的訪問。其他要訪問這些表的用戶可以象以前那樣地訪問這些表。五、創(chuàng)建角色除了前面講到的三種系統(tǒng)角色-CONNECT、RESOURCE和DBA，用戶還可以在Oracle創(chuàng)建自己的 role。用戶創(chuàng)建的role可以由表或系統(tǒng)權(quán)限或兩者的組合構(gòu)成。為了創(chuàng)建role，用戶必須具有CREATE ROLE 系統(tǒng)權(quán)限5.1 創(chuàng)建 rolecreate role STUDENT;這條命令創(chuàng)建了一個(gè)名為STUDENT的role。5.2對role授權(quán)一旦創(chuàng)建了一個(gè)role，用戶就可以給他授

12、權(quán)。給role授權(quán)的grant命令的語法與對對用戶的語法相同。在 給role授權(quán)時(shí)，在grant命令的to子句中要使用role的名稱，如下所示：grant select on CLASS to STUDENT;現(xiàn)在，擁有STUDENT角色的所有用戶都具有對CLASS表的select權(quán)限。5.3刪除角色要?jiǎng)h除角色，可以使用drop role命令，如下所示：drop role STUDENT;指定的role連同與之相關(guān)的權(quán)限將從數(shù)據(jù)庫中全部刪除。oracle sys system 用戶的區(qū)別sys是Oracle數(shù)據(jù)庫中權(quán)限最高的帳號，具有create database的權(quán)限，而system 沒有這

13、個(gè)權(quán)限，sys的角色是sysdba，system 的角色是sysoper其余就是他們兩個(gè)用戶共有的權(quán)限了：startup/shutdown/dba兩個(gè)用戶都是可以管理的。平時(shí)用system來管理數(shù)據(jù)庫就可以了。這個(gè)用戶的權(quán)限 對于普通的數(shù)據(jù)庫管理來說已經(jīng)足夠權(quán)限了。七.查看權(quán)限和角色ORACLE中數(shù)據(jù)字典視圖分為3大類，用前綴區(qū)別，分別為：USER, ALL和DBA,許多數(shù)據(jù)字典 視圖包含相似的信息。USER_*:有關(guān)用戶所擁有的對象信息，即用戶自己創(chuàng)建的對象信息ALL_*：有關(guān)用戶可以訪問的對象的信息，即用戶自己創(chuàng)建的對象的信息加上其他用戶創(chuàng)建的對象但該用 戶有權(quán)訪問的信息DBA_*：有關(guān)整

14、個(gè)數(shù)據(jù)庫中對象的信息（這里的*可以為 TABLES， INDEXES， OBJECTS， USERS 等）。比如：只知道scott用戶的密碼，需要查看一下scott的一些信息7.1、查scott用戶的創(chuàng)建時(shí)間、用戶狀態(tài)、使用的默認(rèn)表空間、臨時(shí)表空間等信息SQL conn scott/admin已連接。SQLselect * from user_users;另：select * from all_users;（scott用戶可以訪問其他數(shù)據(jù)庫用戶對信息的用戶名）另：select * from all_users;（所有數(shù)據(jù)庫的用戶信息，各用戶的密碼、狀態(tài)、默認(rèn)表空間、臨時(shí)表空間等）7.2、查看s

15、cott用戶自己擁有什么角色SQL select * from user_role_privs;USERNAME GRANTED_ROLE ADM DEF OS_SCOTTCONNECTNOYESNOSCOTTRESOURCENOYESNO注：“ADM”表示這個(gè)用戶是否可以把該具有的角色賦予給其他的用戶另：沒有all_role_privs這個(gè)視圖另：select * from dba_role_privs （所有數(shù)據(jù)庫用戶具有哪些角色，這個(gè)視圖只有dba角色的權(quán)限才可以查 詢）7.3、查看scott用戶自己具有什么的權(quán)限SQL select * from session_privs;7.4、查

16、看scott用戶具有什么的系統(tǒng)權(quán)限呢SQLselect * from user_sys_privs;另：沒有all_sys_privs視圖另：select * from dba_sys_privs;（所有數(shù)據(jù)庫用戶、角色所用于的系統(tǒng)權(quán)限）7.5、查看scott用戶中，都哪些用戶把對象授予給scott用戶呢（讀取其他用戶對象的權(quán)限）SQLselect * from user_tab_privs;另：select * from all_tab_privs; select * from dba_tab_privs;7.6、查看scott用戶中擁有的resource角色都具有什么權(quán)限呢SQL sele

17、ct * from role_sys_privs where role=RESOURCE;ROLE PRIVILEGE ADMRESOURCE CREATE SEQUENCE NORESOURCE CREATE TRIGGER NORESOURCE CREATE CLUSTER NORESOURCE CREATE PROCEDURE NORESOURCE CREATE TYPE NORESOURCE CREATE OPERATOR NORESOURCE CREATE TABLE NORESOURCE CREATE INDEXTYPE NO已選擇8行。7.7、scott用戶自己擁有多少的表SQL

18、select * from user_tables;另：select * from all_tables;其他用戶所擁有的表另：select * from dba_tables；數(shù)據(jù)庫中所有用戶的表7.8、查看scott用戶已經(jīng)使用多大的空間，允許使用的最大空間是多少SQL select tablespace_name,bytes,max_bytes from user_ts_quotas;另：select * from dba_ts_quotas;(所有的數(shù)據(jù)庫用戶在每個(gè)表空間已使用的空間，最大空間)7.9、把自己的表賦予給其他用戶SQLgrant select on emp to mzl;查看都把哪些表什么權(quán)限賦予了其他用戶SQLselect * from user_tab_privs_made7.10、把表的某一列操作權(quán)