Oracle權限管理詳解

Oracle 權限 
權限允許用戶訪問屬于其它用戶的對象或執行程序，ORACLE系統提供三種權限：Object 對象級、System 系統級、Role 角色級。這些權限可以授予給用戶、特殊用戶public或角色，如果授予一個權限給特殊用戶"Public"（用戶public是oracle預定義的，每個用戶享有這個用戶享有的權限）,那么就意味作將該權限授予了該數據庫的所有用戶。
對管理權限而言，角色是一個工具，權限能夠被授予給一個角色，角色也能被授予給另一個角色或用戶。用戶可以通過角色繼承權限，除了管理權限外角色服務沒有其它目的。權限可以被授予，也可以用同樣的方式撤銷。
權限分類
1、系統權限：系統規定用戶使用數據庫的權限。（系統權限是對用戶而言)。
2、實體權限：某種權限用戶對其它用戶的表或視圖的存取權限。（是針對表或視圖而言的）。
系統權限管理 
系統權限分類：
DBA: 擁有全部特權，是系統最高權限，只有DBA才可以創建數據庫結構。
RESOURCE:擁有Resource權限的用戶只可以創建實體，不可以創建數據庫結構。
CONNECT:擁有Connect權限的用戶只可以登錄Oracle，不可以創建實體，不可以創建數據庫結構。
對于普通用戶：授予connect, resource權限。
對于DBA管理用戶：授予connect，resource, dba權限。
系統權限授權命令：
系統權限只能由DBA用戶授出：sys, system(最開始只能是這兩個用戶)
授權命令：SQL> grant connect, resource, dba to 用戶名1 [,用戶名2]...;
注:普通用戶通過授權可以具有與system相同的用戶權限，但永遠不能達到與sys用戶相同的權限，system用戶的權限也可以被回收。 
例： 
SQL> connect system/manager
SQL> Create user user50 identified by user50;
SQL> grant connect, resource to user50;

查詢用戶擁有哪里權限： 
SQL> select * from dba_role_privs;
SQL> select * from dba_sys_privs;
SQL> select * from role_sys_privs; 
查自己擁有哪些系統權限
SQL> select * from session_privs; 
刪除用戶
SQL> drop user 用戶名 cascade;  //加上cascade則將用戶連同其創建的東西全部刪除
系統權限傳遞：
增加WITH ADMIN OPTION選項，則得到的權限可以傳遞。
SQL> grant connect, resorce to user50 with admin option;  //可以傳遞所獲權限。
系統權限回收：系統權限只能由DBA用戶回收
SQL> Revoke connect, resource from user50; 
說明： 
1）如果使用WITH ADMIN OPTION為某個用戶授予系統權限，那么對于被這個用戶授予相同權限的所有用戶來說，取消該用戶的系統權限并不會級聯取消這些用戶的相同權限。
2）系統權限無級聯，即A授予B權限，B授予C權限，如果A收回B的權限，C的權限不受影響；系統權限可以跨用戶回收，即A可以直接收回C用戶的權限。 
實體權限管理 
實體權限分類
select, update, insert, alter, index, delete, all  //all包括所有權限
execute  //執行存儲過程權限
user01:
SQL> grant select, update, insert on product to user02;
SQL> grant all on product to user02;
user02:
SQL> select * from user01.product; 
// 此時user02查user_tables，不包括user01.product這個表，但如果查all_tables則可以查到，因為他可以訪問。
將表的操作權限授予全體用戶：
SQL> grant all on product to public;  // public表示是所有的用戶，這里的all權限不包括drop。
實體權限數據字典
SQL> select owner, table_name from all_tables; // 用戶可以查詢的表
SQL> select table_name from user_tables;  // 用戶創建的表
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 獲權可以存取的表（被授權的）
SQL> select grantee, owner, table_name, privilege from user_tab_privs;    // 授出權限的表(授出的權限)
DBA用戶可以操作全體用戶的任意基表(無需授權，包括刪除)：
DBA用戶：
SQL> Create table stud02.product(
 id number(10),
 name varchar2(20));
SQL> drop table stud02.emp;

SQL> create table stud02.employee
 as
 select * from scott.emp; 
實體權限傳遞(with grant option)：
user01:
SQL> grant select, update on product to user02 with grant option; // user02得到權限，并可以傳遞。
實體權限回收：
user01:
SQL>Revoke select, update on product from user02;  //傳遞的權限將全部丟失。
說明
1）如果取消某個用戶的對象權限，那么對于這個用戶使用WITH GRANT OPTION授予權限的用戶來說，同樣還會取消這些用戶的相同權限，也就是說取消授權時級聯的。 
Oracle 角色管理 
角色是一組權限的集合，將角色賦給一個用戶，這個用戶就擁有了這個角色中的所有權限。系統預定義角色是在數據庫安裝后，系統自動創建的一些常用的角色。下介簡單的介紹一下這些預定角色。角色所包含的權限可以用以下語句查詢：
sql>select * from role_sys_privs where role='角色名'; 
CONNECT, RESOURCE, DBA：這些預定義角色主要是為了向后兼容。其主要是用于數據庫管理。oracle建議用戶自己設計數據庫管理和安全的權限規劃，而不要簡單的使用這些預定角色。將來的版本中這些角色可能不會作為預定義角色。
DELETE_CATALOG_ROLE， EXECUTE_CATALOG_ROLE， SELECT_CATALOG_ROLE：這些角色主要用于訪問數據字典視圖和包。
EXP_FULL_DATABASE， IMP_FULL_DATABASE：這兩個角色用于數據導入導出工具的使用。
AQ_USER_ROLE， AQ_ADMINISTRATOR_ROLE：AQ:Advanced Query。這兩個角色用于oracle高級查詢功能。
SNMPAGENT：用于oracle enterprise manager和Intelligent Agent
RECOVERY_CATALOG_OWNER：用于創建擁有恢復庫的用戶。關于恢復庫的信息，參考oracle文檔《Oracle9i User-Managed Backup and Recovery Guide》
HS_ADMIN_ROLE：A DBA using Oracle's heterogeneous services feature needs this role to access appropriate tables in the data dictionary.
管理角色 
建一個角色
sql>create role role1; 
授權給角色
sql>grant create any table,create procedure to role1; 
授予角色給用戶
sql>grant role1 to user1; 
查看角色所包含的權限
sql>select * from role_sys_privs; 
創建帶有口令以角色(在生效帶有口令的角色時必須提供口令)
sql>create role role1 identified by password1;
修改角色：是否需要口令 
sql>alter role role1 not identified;
sql>alter role role1 identified by password1; 
設置當前用戶要生效的角色
(注：角色的生效是一個什么概念呢？假設用戶a有b1,b2,b3三個角色，那么如果b1未生效，則b1所包含的權限對于a來講是不擁有的，只有角色生效了，角色內的權限才作用于用戶，最大可生效角色數由參數MAX_ENABLED_ROLES設定；在用戶登錄后，oracle將所有直接賦給用戶的權限和用戶默認角色中的權限賦給用戶。）
sql>set role role1; //使role1生效
sql>set role role,role2; //使role1,role2生效
sql>set role role1 identified by password1; //使用帶有口令的role1生效
sql>set role all; //使用該用戶的所有角色生效
sql>set role none; //設置所有角色失效
sql>set role all except role1; //除role1外的該用戶的所有其它角色生效。
sql>select * from SESSION_ROLES; //查看當前用戶的生效的角色。
修改指定用戶，設置其默認角色 
sql>alter user user1 default role role1;
sql>alter user user1 default role all except role1; 
詳見oracle參考文檔
9.刪除角色
sql>drop role role1; 
角色刪除后，原來擁用該角色的用戶就不再擁有該角色了，相應的權限也就沒有了。
說明: 
1)無法使用WITH GRANT OPTION為角色授予對象權限
2)可以使用WITH ADMIN OPTION 為角色授予系統權限,取消時不是級聯

與權限安全相關的數據字典表有:
ALL_TAB_PRIVS
ALL_TAB_PRIVS_MADE
ALL_TAB_PRIVS_RECD
DBA_SYS_PRIVS
DBA_ROLES
DBA_ROLE_PRIVS
ROLE_ROLE_PRIVS
ROLE_SYS_PRIVS
ROLE_TAB_PRIVS
SESSION_PRIVS
SESSION_ROLES
USER_SYS_PRIVS
USER_TAB_PRIV
oracle的系統和對象權限列表 
alter any cluster 修改任意簇的權限
alter any index 修改任意索引的權限
alter any role 修改任意角色的權限
alter any sequence 修改任意序列的權限
alter any snapshot 修改任意快照的權限
alter any table 修改任意表的權限
alter any trigger 修改任意觸發器的權限
alter cluster 修改擁有簇的權限
alter database 修改數據庫的權限
alter procedure 修改擁有的存儲過程權限
alter profile 修改資源限制簡表的權限
alter resource cost 設置佳話資源開銷的權限
alter rollback segment 修改回滾段的權限
alter sequence 修改擁有的序列權限
alter session 修改數據庫會話的權限
alter sytem 修改數據庫服務器設置的權限
alter table 修改擁有的表權限
alter tablespace 修改表空間的權限
alter user 修改用戶的權限
analyze 使用analyze命令分析數據庫中任意的表、索引和簇
audit any 為任意的數據庫對象設置審計選項
audit system 允許系統操作審計
backup any table 備份任意表的權限
become user 切換用戶狀態的權限
commit any table 提交表的權限
create any cluster 為任意用戶創建簇的權限
create any index 為任意用戶創建索引的權限
create any procedure 為任意用戶創建存儲過程的權限
create any sequence 為任意用戶創建序列的權限
create any snapshot 為任意用戶創建快照的權限
create any synonym 為任意用戶創建同義名的權限
create any table 為任意用戶創建表的權限
create any trigger 為任意用戶創建觸發器的權限
create any view 為任意用戶創建視圖的權限
create cluster 為用戶創建簇的權限
create database link 為用戶創建的權限
create procedure 為用戶創建存儲過程的權限
create profile 創建資源限制簡表的權限
create public database link 創建公共數據庫鏈路的權限
create public synonym 創建公共同義名的權限
create role 創建角色的權限
create rollback segment 創建回滾段的權限
create session 創建會話的權限
create sequence 為用戶創建序列的權限
create snapshot 為用戶創建快照的權限
create synonym 為用戶創建同義名的權限
create table 為用戶創建表的權限
create tablespace 創建表空間的權限
create user 創建用戶的權限
create view 為用戶創建視圖的權限
delete any table 刪除任意表行的權限
delete any view 刪除任意視圖行的權限
delete snapshot 刪除快照中行的權限
delete table 為用戶刪除表行的權限
delete view 為用戶刪除視圖行的權限
drop any cluster 刪除任意簇的權限
drop any index 刪除任意索引的權限
drop any procedure 刪除任意存儲過程的權限
drop any role 刪除任意角色的權限
drop any sequence 刪除任意序列的權限
drop any snapshot 刪除任意快照的權限
drop any synonym 刪除任意同義名的權限
drop any table 刪除任意表的權限
drop any trigger 刪除任意觸發器的權限
drop any view 刪除任意視圖的權限
drop profile 刪除資源限制簡表的權限
drop public cluster 刪除公共簇的權限
drop public database link 刪除公共數據鏈路的權限
drop public synonym 刪除公共同義名的權限
drop rollback segment 刪除回滾段的權限
drop tablespace 刪除表空間的權限
drop user 刪除用戶的權限
execute any procedure 執行任意存儲過程的權限
execute function 執行存儲函數的權限
execute package 執行存儲包的權限
execute procedure 執行用戶存儲過程的權限
force any transaction 管理未提交的任意事務的輸出權限
force transaction 管理未提交的用戶事務的輸出權限
grant any privilege 授予任意系統特權的權限
grant any role 授予任意角色的權限
index table 給表加索引的權限
insert any table 向任意表中插入行的權限
insert snapshot 向快照中插入行的權限
insert table 向用戶表中插入行的權限
insert view 向用戶視圖中插行的權限
lock any table 給任意表加鎖的權限
manager tablespace 管理（備份可用性）表空間的權限
references table 參考表的權限
restricted session 創建有限制的數據庫會話的權限
select any sequence 使用任意序列的權限
select any table 使用任意表的權限
select snapshot 使用快照的權限
select sequence 使用用戶序列的權限
select table 使用用戶表的權限
select view 使用視圖的權限
unlimited tablespace 對表空間大小不加限制的權限
update any table 修改任意表中行的權限
update snapshot 修改快照中行的權限
update table 修改用戶表中的行的權限
update view 修改視圖中行的權限