4

oracle用户&&权限管理 -m6米乐安卓版下载

原创 张均 云和恩墨 2022-10-21
904

本片文章主要介绍了:

  • 用户的创建,修改,删除
  • 权限的分类
  • 系统权限和对象权限的赋予
  • 角色的定义与使用
  • 回收权限

2.1 创建用户格式

create user user_name identified by pwssword;

user_name 是用户名
password 是用户密码

  • 【grant privileges to user_name identified by password】可以实现赋权与建用户同时进行;

2.2 创建用户

  • 创建一个名为damon的用户密码为damon
sys@oradb> create user damon identified  by damon;
user created.

2.3 修改密码

  • 方法一:使用alter user
alter user user_name identified by new_password;
  • 方法二:psassword user
password user_name
  • 示例:
sys@oradb> alter user damon identified by oracle;
user altered.
sys@oradb> password damon
changing password for damon
new password:
retype new password:
password changed

2.4 解锁用户

alter user user_name identified by password account unlock;

2.5 切换用户登录

  • 语法: conn user_name/password
  • 使用新建用户登录:
sys@oradb> conn damon/damon
error:
ora-01045: user damon lacks create session privilege; logon denied
warning: you are no longer connected to oracle.
@> show user
user is ""
@> conn / as sysdba
connected.
sys@oradb> !oerr ora 1045
01045, 00000, "user %s lacks create session privilege; logon denied"
// *cause: a connect was attempted to a userid which does not have
//         create session privilege.
// *action: grant the user create session privilege.

发现链接失败,是因为该用户没有赋予创建会话的权限。处理方法后续说明。

2.6 删除用户

  • 语法: drop user user_name [cascade];
    当用户下还有其他对象的时候(表、索引、视图等) ,直接使用drop user user_name 会报错,需要加上【cascade】参数级联删除该用户下的所有对象。

3.1 权限分类

  • 权限的作用是为了保证数据库的安全:包括系统安全和数据安全
  • 权限可以分为系统权限和对象权限

系统权限:对于数据库的权限,能够在数据库做什么操作(例如创建表)

对象权限:操作数据库对象的权限,能够对指定的对象做什么操作(例如对表的dml操作)

  • schema(模式/方案):某个用户下所有对象的集合。模式与用户是一 一对应的,可以把其理解为用户。
    示例: 我们查看scott模式下的emp表(emp表是用户scott用户下的一个表对象)
sys@oradb> select * from scott.emp;
     empno ename      job              mgr hiredate         sal       comm     deptno
---------- ---------- --------- ---------- --------- ---------- ---------- ----------
      7369 smith      clerk           7902 17-dec-80        800                    20
      7499 allen      salesman        7698 20-feb-81       1600        300         30
      7521 ward       salesman        7698 22-feb-81       1250        500         30
      7566 jones      manager         7839 02-apr-81       2975                    20
      7654 martin     salesman        7698 28-sep-81       1250       1400         30
      7698 blake      manager         7839 01-may-81       2850                    30
      7782 clark      manager         7839 09-jun-81       2450                    10
      7788 scott      analyst         7566 19-apr-87       3000                    20
      7839 king       president            17-nov-81       5000                    10
      7844 turner     salesman        7698 08-sep-81       1500          0         30
      7876 adams      clerk           7788 23-may-87       1100                    20
      7900 james      clerk           7698 03-dec-81        950                    30
      7902 ford       analyst         7566 03-dec-81       3000                    20
      7934 miller     clerk           7782 23-jan-82       1300                    10

3.2 系统权限

3.2.1 用户的系统权限

  • 用户创建之后,dba可以赋予该用户一些权限
    语法: grant privilege1[,privilege2,…] to user1[,user1|role,public…];

privilege一般可选:
-create session
-create table
-create sequence
-create view
-create procedure

  • 示例:
sys@oradb> grant create session,create table,create sequence,create view to damon;
grant succeeded.
  • 连接damon用户,此时能正常链接,因为赋予了damon用户创建会话的
sys@oradb> conn damon/damon
connected.
damon@oradb>
  • 查看用户拥有的系统权限
damon@oradb> select * from user_sys_privs;
username             privilege                                adm com inh
-------------------- ---------------------------------------- --- --- ---
damon                create view                              no  no  no
damon                create sequence                          no  no  no
damon                create table                             no  no  no
damon                create session                           no  no  no

3.3 角色

3.3.1 角色的定义

角色可以理解为一些权限的集合。角色的作用是用来简化权限的管理。例如,我们在3.2.1节中把四个系统权限都付与给了用户damon,但是如果我们需要将好几十个权限赋给damon,此时还需要将每个权限的名称(create table)全部输入,费力不讨好。此时角色就能便于我们对用户权限的管理。我们可以创建一个或多个角色,将这几十个权限一并或者分组赋予给这些创建的角色,再把这一个或多个角色赋予用户。此时该用户就拥有它所有角色下的权限。图解如下:
image.png

3.3.2 角色的使用

  • 创建角色
create role role_name;
  • 为角色赋予权限
grant privilege1[,privilege2,...] to role_name;
  • 将角色赋予用户
grant role_name to user_name;
  • 查看当前用户下角色信息:
select * from user_role_privs;
  • 查看某角色拥有的系统权限
select * from role_sys_privs where role='role_name';
  • 查看某角色拥有的对象权限
select * from role_tab_privs where role='role_name';

3.3.3 系统默认角色

[connect]、[resource]是两个系统默认的角色

  • 查看这两个默认角色包含的系统权限
sys@oradb> select * from role_sys_privs where role in('connect','resource');
role                 privilege                                adm com inh
-------------------- ---------------------------------------- --- --- ---
connect              set container                            no  yes yes
resource             create sequence                          no  yes yes
resource             create trigger                           no  yes yes
resource             create cluster                           no  yes yes
resource             create procedure                         no  yes yes
resource             create type                              no  yes yes
connect              create session                           no  yes yes
resource             create operator                          no  yes yes
resource             create table                             no  yes yes
resource             create indextype                         no  yes yes

这两个角色能给用户能够完成任务的最低标准

  • 授予damon用户这两个角色
sys@oradb> grant connect,resource to damon;
grant succeeded.
sys@oradb> conn damon/damon
connected.
damon@oradb> select * from user_role_privs;
username             granted_role         adm del def os_ com inh
-------------------- -------------------- --- --- --- --- --- ---
damon                connect              no  no  yes no  no  no
damon                resource             no  no  yes no  no  no

3.4 对象权限

  • 不同的对象拥有不同的对象权限
  • 对象的拥有者拥有所有权限
    比如用户创建了一个对象,该用户拥有这个对象的所有权限
  • 对象的拥有者可以向外分配权限
    示例:让damon用户能够查看scott用户拥有的表emp
# 登连接到表emp的拥有用户
damon@oradb> conn scott/tiger
connected.
# 使用scott用户对用户damon赋予查询emp表的权限
scott@oradb> grant select on emp to damon;
grant succeeded.
# 查看damon用户拥有的对象权限
damon@oradb> select * from  user_tab_privs;
grantee    owner      table_name           grantor              privilege       gra hie com type       inh
---------- ---------- -------------------- -------------------- --------------- --- --- --- ---------- ---
damon      scott      emp                  scott                select          no  no  no  table      no
# 查询scott用户下的emp表
damon@oradb> select count(*) from scott.emp;
  count(*)
----------
        14
  • 对象的权限可以精确到对列做insert/update:grant update (dname,loc) on dept to damon;

3.4.1 语法

对于授予的对象权限语法可以表示为:

grant  object_priv[(columns)]
on     object
to     {user|role|public}
[with grant option]

3.4.2 [with grant option]

这是赋权时候的可选项,它的作用是,让被赋权的用户能够赋权给其他用户或角色;例如,a把权限授予b,b还可以把这个权限赋予给其他用户或者角色c;
示例:scott赋予damon查看emp的权限,damon赋予角色se查询emp的权限;

scott@oradb> grant select on emp to damon with grant option;
grant succeeded.
damon@oradb> select * from  user_tab_privs;
grantee    owner      table_name           grantor              privilege       gra hie com type       inh
---------- ---------- -------------------- -------------------- --------------- --- --- --- ---------- ---
damon      scott      emp                  scott                select          yes no  no  table      no
damon@oradb> grant select on scott.emp to se;
grant succeeded.
damon@oradb> select * from role_tab_privs where role='se';
role                 owner      table_name           column_name          privilege       gra com inh
-------------------- ---------- -------------------- -------------------- --------------- --- --- ---
se                   scott      emp                                       select          no  no  no

3.4.3 [public]

  • public也是一个默认的角色,数据库中任意一个角色都拥有public角色,授予给public的绝权限(grant…to public),会让所有的用户都拥有这个权限。
  • 它的信息可以在user_tab_privs表中:
damon@oradb> select * from user_tab_privs;
grantee    owner      table_name           grantor              privilege       gra hie com type       inh
---------- ---------- -------------------- -------------------- --------------- --- --- --- ---------- ---
damon      scott      emp                  scott                select          yes no  no  table      no
public     sys        damon                damon                inherit privile no  no  no  user       no
                                                                ges

3.5 权限相关的数据字典视图

数据字典视图在前几小节也有使用到,下面是总结的表格:
image.png

3.6 收回权限

  • 使用【revoke】语句撤销权限
  • 使用with grant option 子句分配的权限同样被收回

3.6.1 语法

revoke {privilege1[,privilege2,...]|all}
on object
from {user1[,user2...]|role|public}
[cascade constraints] 
{[with grant option]|[with admin option]};

cascade constraints:
收回外键约束权限的时候,先将外键约束删除

with grant option: 对象权限
假设权限:a -> b -> c -> d
对象权限是级联的,a收回b,那么c和d的权限一并收回
但是a不能直接收回c的权限

with admin option: 系统权限
假设权限:a -> b -> c -> d
系统权限的回收不是级联的:a回收b的权限,c和d的系统权限还存在
a可以直接回收c和d的权限,只要使用了该选项

3.7 [select any table]

  • sys用户可以把[select any table]赋权给其他用户,这样这个用户就可以访问其他用户所有的表,但是该用户依旧无法查询dba_users这样的数据字典视图。
  • 如果想让普通用户就能查到dba_数据字典视图,需要使用【select any dictionary】的权限。

用户权限管理.png

5.1 使用 dba 账户创建一个账号为 temp,密码为 temp 用户,并授予会话创建权限

  • 可以在赋权的同时创建角色
sys@oradb> grant create session to "temp" identified by temp;
grant succeeded.
sys@oradb> conn "temp"/temp
connected.

5.2 以 scott 用户登录,将查询 emp 表的权限授权给 temp 用户.

temp@oradb> conn scott/tiger
connected.
scott@oradb> grant select on emp to "temp";
grant succeeded.
temp@oradb> select * from user_tab_privs;
grantee    owner      table_name           grantor              privilege       gra hie com type       inh
---------- ---------- -------------------- -------------------- --------------- --- --- --- ---------- ---
temp       scott      emp                  scott                select          no  no  no  table      no
public     sys        temp                 temp                 inherit privile no  no  no  user       no

5.3使用 temp 用户登录。

  • 尝试查询 emp 表中部门号为 20 的所有员工信息,是否成功?
temp@oradb> select * from scott.emp where deptno=20;
     empno ename      job              mgr hiredate         sal       comm     deptno
---------- ---------- --------- ---------- --------- ---------- ---------- ----------
      7369 smith      clerk           7902 17-dec-80        800                    20
      7566 jones      manager         7839 02-apr-81       2975                    20
      7788 scott      analyst         7566 19-apr-87       3000                    20
      7876 adams      clerk           7788 23-may-87       1100                    20
      7902 ford       analyst         7566 03-dec-81       3000                    20
  • 尝试删除 emp 表中部门号为 20 的所有员工信息,是否成功?
temp@oradb> delete from scott.emp where deptno=20;
delete from scott.emp where deptno=20
                  *
error at line 1:
ora-01031: insufficient privileges

没有权限

5.4 以 dba 用户,创建用户 temp2,密码为 temp2,并授予会话创建权限。

sys@oradb> grant create session to temp2 identified by temp2;
grant succeeded.

5.5 以 dba 用户,创建角色 temp_role.

sys@oradb> create role temp_role;
role created.

5.6 以 scott 用户登录,将查询 scott.dept 表的权限授权给 temp_role

scott@oradb> grant select on dept to temp_role;
grant succeeded.

5.7 将角色 temp_role 授给用户 temp 和 temp2

sys@oradb> grant temp_role to "temp",temp2;
grant succeeded.

5.8 用 temp2 用户登录,查询表 scott.dept 的所有信息

temp2@oradb> select * from scott.dept;
    deptno dname          loc
---------- -------------- -------------
        10 accounting     new york
        20 research       dallas
        30 sales          chicago
        40 operations     boston

5.9 删除角色 temp_role。重复操作第5.8

sys@oradb> drop role temp_role;
role dropped.
temp2@oradb> select * from scott.dept;
select * from scott.dept
                    *
error at line 1:
ora-00942: table or view does not exist
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【米乐app官网下载的版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

文章被以下合辑收录

评论

网站地图